WordPressでSquare決済を利用するためのプラグイン「WooCommerce Square」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 5.1.1 以下のすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者が、サイトに保存されている決済トークン情報に不正アクセスできる可能性があります。
対策として、お使いのバージョンに応じた対策版への更新を推奨します。
脆弱性詳細
本脆弱性は、決済トークン情報を取得する機能において、アクセス権限の確認が適切に行われていない状態にあったことに起因します。
その結果、以下の2つの問題が存在していました。
- ログインしていない第三者でも、決済トークン情報の取得機能を呼び出せる状態だった
- ログイン済みのユーザーが、他のユーザーの決済トークン情報にもアクセスできる状態だった
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
決済トークン情報の漏洩
- クレジットカードの下4桁
- カードブランド(Visa、Mastercardなど)
- 有効期限
- カード保有者名
- 決済トークンの識別子
二次被害のリスク
セキュリティベンダーの報告によれば、取得した決済トークン情報を悪用して、対象サイトで不正な請求を試みる可能性が指摘されています。
また、漏洩した情報を利用した、より説得力のあるフィッシング詐欺などに悪用されるおそれもあります。
被害発生の条件
この脆弱性は、以下の状況で悪用される可能性があります。
- 攻撃者が外部から直接アクセスを試みる(ログイン不要)
- サイトに登録済みの任意のユーザーが、他のユーザーの情報にアクセスを試みる
トークンIDを推測または総当たりで試すことにより、サイト内に保存されている決済トークン情報が取得される可能性があります。
技術的な詳細
本脆弱性は、決済トークン情報を取得する際の処理において、以下の3つの検証が欠けていた点が原因です。
1. ログイン状態の確認
ログインしていないユーザーでも、決済トークン取得機能を呼び出せる設定になっていました。
2. トークンの所有者確認
リクエストしたユーザーが、そのトークンの所有者であるかの検証が行われていませんでした。
3. ゲートウェイの確認
取得しようとしているトークンが、本当にSquare決済のものであるかの確認が行われていませんでした。
修正版では、これらの検証がすべて追加され、管理者以外のユーザーは自分自身のトークン情報のみにアクセスできるよう制限されました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを以下のいずれかの対策バージョンへ更新してください。
- 4.2.0~4.2.2をご利用の方 → 4.2.3以降
- 4.3.0~4.3.1をご利用の方 → 4.3.2以降
- 4.4.0~4.4.1をご利用の方 → 4.4.2以降
- 4.5.0~4.5.1をご利用の方 → 4.5.2以降
- 4.6.0~4.6.3をご利用の方 → 4.6.4以降
- 4.7.0~4.7.3をご利用の方 → 4.7.4以降
- 4.8.0~4.8.7をご利用の方 → 4.8.8以降
- 4.9.0~4.9.8をご利用の方 → 4.9.9以降
- 5.0.0をご利用の方 → 5.0.1以降
- 5.1.0~5.1.1をご利用の方 → 5.1.2以降
- アクセスログの確認
- サーバーのアクセスログに、以下のような不審なリクエストが記録されていないか確認してください。
- URLに「ajax」「wc_square」「get_token_by_id」を含むリクエスト
- パラメータに「token_id」を含む不審なアクセス
- 短時間に大量の連続したリクエスト
- 不審なアクセスが確認された場合は、WordPressの専門家などへの相談を推奨します。
- 決済履歴の確認
- WooCommerceの注文履歴およびSquareの管理画面から、身に覚えのない決済や不審な取引が発生していないか確認してください。
⇒不審な決済が確認された場合は、速やかにSquareサポートおよび決済代行会社へ連絡してください。
影響を受けるバージョン
WooCommerce Square 5.1.1 までのすべてのバージョン
(具体的には: 4.2.0~4.2.2、4.3.0~4.3.1、4.4.0~4.4.1、4.5.0~4.5.1、4.6.0~4.6.3、4.7.0~4.7.3、4.8.0~4.8.7、4.9.0~4.9.8、5.0.0、5.1.0~5.1.1)
脆弱性情報 (CVE-ID)
CVE-2025-13457 
(公開日 2026年1月10日 更新日 2026年1月12日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-13457 悪用確率 0.03% (上位91%) 2026年1月12日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
WooCommerce Square プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
