WordPressでチームメンバーを表示するプラグイン「Team – Team Members Showcase Plugin」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 5.0.10 までのすべてのバージョンです。
本脆弱性を悪用された場合、サイトに訪問した第三者によって、データベースに保存されている情報が不正に取得される可能性があります。
対策として、バージョン 5.0.11 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグインが提供する検索機能において、検索キーワードの安全性確認が不十分な状態にあったことに起因します。
このプラグインは、チームメンバーを表示するページで検索機能を提供していますが、検索処理を行う際に、入力された検索キーワードをデータベース問い合わせに使用する前の安全確認が適切に行われていませんでした。
その結果、このプラグインの機能(ショートコード [tlpteam])を使用しているページが公開されている場合、そのページから取得できる情報を悪用することで、データベース情報の不正な取得が可能となる状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
データベース情報の窃取に関する影響
- WordPressデータベースに保存されている情報が、第三者によって不正に取得される可能性
- ユーザー情報(メールアドレス等)、投稿内容、プラグイン設定情報などが対象となるおそれ
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- サイトで本プラグインのショートコード機能を使用している
- ショートコードを含むページが一般公開されている
特別な操作を行っていない場合でも、上記の条件を満たすサイトでは通常の運用中に影響を受ける可能性があります。
技術的な詳細
本脆弱性は、検索機能の処理において、外部から送信される検索キーワードに対する安全確認が実装されていなかった点が原因です。
プラグインは、ページに埋め込まれたショートコードを通じて、チームメンバーの検索機能を提供しています。この検索処理では、入力された検索キーワードをデータベース問い合わせに使用しますが、本来は、データベースに送信する前に特殊な文字を無害化する処理が必要でした。しかし、この安全確認が行われていない状態でした。
そのため、攻撃者が公開ページから必要な情報を取得し、特別に細工した検索リクエストを送信することで、データベースから情報を不正に取得することが可能な状況となっていました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(5.0.11 以降)へ更新してください。
- 被害確認
- サーバーのアクセスログが確認できる環境の場合、
admin-ajax.phpへのアクセスで、応答時間が異常に長い(3秒以上)リクエストが多数ないか確認してください。 - さらに詳しく確認する場合は、
action=ttp_Layout_Ajax_Actionを含み、searchパラメータにSQL構文(OR SLEEP、UNION SELECTなど)を含むアクセスがないか確認してください。 - 不審なアクセスが確認された場合は、WordPressの専門家などへの相談を推奨します。
- サーバーのアクセスログが確認できる環境の場合、
影響を受けるバージョン
Team – Team Members Showcase Plugin 5.0.10 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-14124 
(公開日 2026年1月5日 更新日 2026年1月5日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-14124 悪用確率 0.09% (上位74%) 2026年2月8日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Team プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
