WooCommerceとBrevo(旧Sendinblue)のメールマーケティング連携を行うプラグイン「Brevo for WooCommerce」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 4.0.49 までのすべてのバージョンです。
本脆弱性を悪用された場合、外部の攻撃者によって管理画面に不正なスクリプトが埋め込まれ、管理者または編集者がBrevo設定ページを閲覧した際にそのスクリプトが実行される可能性があります。
対策として、バージョン 4.0.50 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグインが外部からの連携リクエストを受け付ける処理において、受け取った値を適切に検証していなかったことに起因します。
その結果、攻撃者がログインせずに悪意のあるスクリプトを送信し、データベースに保存させることが可能な状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
管理者・編集者への影響
- Brevo設定ページを閲覧した管理者・編集者のブラウザ上で、攻撃者の用意したスクリプトが実行される
- 管理者・編集者のログイン情報(セッション)が窃取され、不正ログインに悪用されるおそれ
- 不正ログインを経て、管理者アカウントの追加やサイト改ざんに発展する可能性
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 脆弱なバージョンのプラグインが有効化されている
- 管理者または編集者が、WordPress管理画面のBrevo設定ページを閲覧する
攻撃にログインは不要なため、外部から実行される可能性があります。
技術的な詳細
本脆弱性は、プラグインが提供していたコールバック用エンドポイントに問題がありました。
このエンドポイントには認証が要求されておらず、受け取ったパラメータ値はサニタイズ(無害化)されないままデータベースへ保存されていました。さらに、保存された値が管理画面のBrevo設定ページで表示される際にもエスケープ処理(特殊文字の無害化)が行われていなかったため、攻撃者が送信した不正なスクリプトがそのまま閲覧者のブラウザ上で実行される状態となっていました。
脆弱性の種類
※「格納型」とは、不正なスクリプトがサーバー側に保存され、後からページを閲覧したユーザーに対して実行される形式を指します。
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(4.0.50 以降)へ更新してください。
- 被害確認
- サイトのコンテンツに不審な変更がないか確認してください。
- 追加のセキュリティ対策
- 念のため、管理者・編集者アカウントのパスワードを変更することを推奨します。
- 管理画面へのアクセス制限(IP制限、二要素認証など)の導入もご検討ください。
⇒不審なユーザーアカウントやサイト改ざんが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Brevo for WooCommerce 4.0.49 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-14436 
(公開日 2026年1月8日 更新日 2026年1月9日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-14436 悪用確率 0.14% (上位66%) 2026年2月7日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Brevo for WooCommerce プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
