WordPressでアクセス解析を行うプラグイン「Slimstat Analytics」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 5.3.4 までのすべてのバージョンです。
本脆弱性を悪用された場合、サイトにアクセスした第三者によって、管理者が統計レポートを閲覧した際に不正なプログラムが実行され、管理者権限が乗っ取られる可能性があります。
対策として、バージョン 5.3.5 以降への更新を強く推奨します。
脆弱性詳細
本脆弱性は、プラグインがサイト訪問者のアクセス情報をデータベースに記録する際、記録内容の安全性確認が不十分であったことに起因します。
Slimstat Analyticsはサイトへのアクセスを自動記録しますが、訪問者が送信した特殊な情報をそのまま保存してしまう状態でした。
その結果、悪意のある訪問者が特別に細工したアクセスを行うことで、管理者が後日レポート画面を開いた際に不正なプログラムが実行される状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
主な影響
- 管理者のログイン状態を不正に取得されるおそれ
- 攻撃者が管理者権限を取得し、新規アカウント作成、プラグイン導入、コンテンツ改ざん等が行われる可能性
これにより、サイト全体が攻撃者の支配下に置かれるリスクがあります。
被害発生の条件
以下の条件が重なった場合に被害が発生する可能性があります。
- 攻撃者が対象サイトに対して、特別に細工したアクセスを行う
- 管理者がWordPress管理画面でSlimstat Analyticsのレポート(カスタムイベント等)を閲覧する
攻撃に認証は不要なため、通常のサイト運営中に被害を受けるリスクがあります。
技術的な詳細
本脆弱性は、アクセス解析データをレポート画面に表示する際、データベースから取得した情報を安全な形式に変換せずに出力していた点が原因です。
具体的には、カスタムイベントのメモ情報(notes)、アクセスページ情報(resource)、その他の統計データが適切に処理されていませんでした。
本来は「エスケープ処理」(HTMLとして解釈されないようにする処理)が必要でしたが、この処理が実装されていませんでした。
そのため、攻撃者が通常のサイトアクセスを装いながら悪意のあるコードを含めることで、それがデータベースに保存され、管理者のレポート閲覧時に実行される状況でした。
脆弱性の種類
CWE-79 クロスサイトスクリプティング(XSS) 
– Stored XSS(格納型)
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(5.3.5 以降)へ更新してください。
- 被害確認
- 不審な管理者アカウントの確認
- WordPress管理画面の「ユーザー」メニューより、身に覚えのない管理者権限アカウントが作成されていないか確認してください。
- プラグイン・テーマの確認
- 「プラグイン」および「外観」>「テーマ」メニューより、インストールした覚えのないプラグインやテーマが追加されていないか確認が必要です。
- ファイル改ざんの確認
- 可能であれば、WordPressコアファイルやテーマファイルに不審な変更がないか、FTPまたはファイルマネージャーで確認しましょう。
不審な変更が確認された場合は、該当アカウント・プラグイン・ファイルの削除または修正を行ってください。
- 今後の予防策
- Slimstat Analyticsのレポート画面を頻繁に確認している場合は、被害を受けている可能性が高くなります。上記の被害確認を必ず実施してください。
- 定期的にプラグインを最新バージョンに保つ運用を徹底してください。
⇒不審な状況が確認された場合や、対応に不安がある場合は、WordPressの専門家への相談を推奨します。
影響を受けるバージョン
Slimstat Analytics 5.3.4 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-15055
(公開日 2026年1月9日 更新日 2026年1月9日)
CVE-2025-15057
(公開日 2026年1月9日 更新日 2026年1月9日)
脆弱性の深刻度 (CVSS v3)
脆弱性脅威度(EPSS)
CVE-2025-15055 悪用確率 0.07% (上位77%) 2026年1月12日時点
CVE-2025-15057 悪用確率 0.07% (上位77%) 2026年1月12日時点
(今後30日以内に悪用される確率)
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Slimstat Analytics プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
