WordPressでマルチベンダー型のマーケットプレイス(ECモール)を構築するプラグイン「Dokan」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 4.2.4 までのすべてのバージョンです。
本脆弱性を悪用された場合、サイトにログインしているユーザー(購入者などの一般アカウント含む)が、出品者(ベンダー)の店舗設定や決済情報を閲覧・変更できる状態となっていました。これにより、売上金が不正に横取りされる危険性があります。
対策として、バージョン 4.2.5 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、出店者が自身の店舗設定(住所や決済方法など)を管理する機能において、「操作を行っているユーザー」が「その店舗の所有者であるか」という確認が正しく行われていなかったことに起因します。
その結果、サイトにログインできるユーザーであれば、自分以外の出店者の識別番号(ID)を指定することで、他人の店舗設定にアクセスし、内容を書き換えることが可能な状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような深刻な被害が想定されます。
金銭的な被害(売上の窃取)
- 報酬受け取り用のPayPalメールアドレスや銀行口座情報が、攻撃者のものに書き換えられる
- これにより、本来出店者が受け取るはずの売上が、攻撃者に送金されるおそれがあります
個人情報および機密情報の漏洩
- 出店者の住所、電話番号などの個人情報が閲覧される
- 銀行口座番号(IBAN、SWIFTコード等)などの決済関連情報が漏洩する
被害発生の条件
- 攻撃者がサイトのアカウントを持っている(「顧客」権限などの低権限ユーザーでも可能)
- 攻撃者がWordPressにログインしている状態で、特殊なリクエストを送信する
技術的な詳細
本脆弱性は、店舗設定を取得・更新するAPI(REST API)において、リクエストされた「ベンダーID」に対するアクセス権限の検証が欠落していた点が原因です。
本来であれば、「リクエストを送信したユーザーID」と「操作対象のベンダーID」が一致するかを確認する必要がありますが、修正前のコードでは「指定されたベンダーIDが存在するかどうか」のみを確認していました。
そのため、存在さえすれば他人のIDであってもアクセスが許可され、情報の閲覧や更新が可能となっていました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(4.2.5 以降)へ更新してください。
- 被害確認(重要)
- 各出店者に、WordPress管理画面のダッシュボードから「決済設定(Payment Settings)」メニューを開き、登録されているPayPalメールアドレスや銀行口座情報が正しいか確認するよう依頼してください。
- 身に覚えのない情報に変更されていた場合は、直ちに正しい情報に修正し、パスワード変更を行ってください。
- 追加のセキュリティ対策
- 不審なユーザー登録(特に顧客アカウント)がないか確認し、不要なアカウントは削除してください。
⇒ 決済情報の改ざんが確認された場合は、決済代行会社への連絡も推奨します。
影響を受けるバージョン
Dokan 4.2.4 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-14977 
(公開日 2026年1月20日 更新日 2026年1月20日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-14977 悪用確率 0.03% (上位93%) 2026年2月7日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Dokan プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
