WordPressプラグイン「User Activity Log」にWordPress設定を改ざんされる脆弱性

WordPressのユーザーアクティビティを記録するプラグイン「User Activity Log」のバージョン 2.2 までの全てのバージョンで、セキュリティ脆弱性が発見されました。

この脆弱性により、WordPress の重要な設定が改ざんされる可能性があります。現時点で対策版は提供されていません。該当プラグインをご利用の場合は、直ちに無効化・削除することを強く推奨します。

想定される被害

この脆弱性により、以下のような被害が想定されます。

WordPress設定の改ざん
- ユーザー登録に関する設定が書き換えられる
- ユーザーの役割(権限)を管理する設定が破壊される
- 管理画面にログインできなくなる
被害発生の条件
- プラグインが有効化されている
- ログイン画面に対して不正な形式のリクエストが送信される

技術的な詳細

この脆弱性は、以下の問題に起因します。

ログイン失敗時の処理に問題がある
1. ログイン失敗を記録する際、入力されたユーザー名を使ってWordPress設定を保存する処理が実行される
2. 入力されたユーザー名が、そのままWordPress設定の名前として使われる
3. WordPress内部の重要な設定名と同じ文字列が送信されると、その設定が書き換えられる
権限チェックの欠如
- この処理は、ログインが完了する前に実行される
- 実行者が適切な権限を持っているかの確認がされていない
入力値の検証不足
- 入力されたユーザー名が適切かどうかの確認がされていない
- WordPress重要設定と同じ名前が入力されることを防ぐ仕組みがない

脆弱性の種類

CWE-862 認可の欠如

推奨対応事項

現時点で修正版は提供されていません。該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。

プラグインの無効化・削除(最優先)
- WordPress管理画面の「プラグイン」メニューから「User Activity Log」を無効化
- し、「削除」を実行
被害確認
- WordPress管理画面にログインできるか確認
- 「設定」→「一般」で「だれでもユーザー登録ができるようにする」が意図せず有効になっていないか確認
- 「ユーザー」メニューから、意図しないユーザーアカウントがないか確認
管理画面にアクセスできない場合
- WordPressの専門家やホスティング事業者へ相談

⇒サイトに異常が見られる場合は、WordPressの専門家などへの相談をお勧めします。

影響を受けるバージョン

User Activity Log 2.2 までの全てのバージョン

脆弱性情報 (CVE-ID)

CVE-2025-11877
（公開日 2026年1月7日更新日 2026年1月7日）

脆弱性の深刻度 (CVSS v3)

基本値: 7.5 (重要) 　[Wordfence]

脆弱性脅威度(EPSS)

CVE-2025-11877 悪用確率 0.10% （上位73%） 2026年2月8日時点

(今後30日以内に悪用される確率 )

参考　

User Activity Log <= 2.2 – Unauthenticated Limited Options Update via Failed Login

ソフトウェア脆弱性情報の著作権に関する注意事項

This record contains material that is subject to copyright.

License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.

License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.

「WordPressセキュリティ保守」をご利用のお客様へ

「Support」、「Technical」、「Customer」、「Service」の文字と技術的なWordPress顧客サポート

WordPress運用保守

さらに詳しく

User Activity Log プラグインをご利用のお客様へは、「緊急対応が必要なプラグインの無効化・削除手順」メールを順次ご案内しております。

WordPress プラグイン User Activity Log 情報（2026年2月8日取得）

セキュリティ告知	このプラグインの公開は 2025-12-29 に停止されており、現在は、ダウンロードできません。 This plugin has been closed as of December 29, 2025 and is not available for download. This closure is temporary, pending a full review.