ユーザー登録やコミュニティ機能を提供するプラグイン「BuddyPress」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 14.3.3 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、サイト上で任意のショートコードを実行される可能性があります。
対策として、バージョン 14.3.4 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、ユーザーに向けたメッセージを表示する処理において、外部から送信されたデータの安全性を十分に確認できていない状態にあったことに起因します。
その結果、攻撃者が細工したデータを送信することで、サイト管理者が意図していないショートコード(WordPressの特定機能を呼び出すためのコード)を実行させることが可能な状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
不正なコンテンツの表示と機能の悪用
- 攻撃者が用意した不正なフォームや広告などがサイト上に表示される
- ショートコードが持つ機能(会員情報の表示など)が悪用され、情報の漏洩や意図しない操作が行われる可能性
被害発生の条件
- 攻撃者がサイトにアクセス可能な状態であれば、管理者やユーザーの操作に関わらず攻撃が可能
(ログインしていない状態でも悪用される恐れがあります)
技術的な詳細
本脆弱性は、画面表示用のメッセージをブラウザの一時保存情報(Cookie)から取得する処理において、
- アクセス元がログイン済みユーザーであるかの確認
- データに含まれるショートコードの無効化処理
の双方が実装されていなかった点が原因です。
本来、この機能はログインユーザー向けのものであるべきでしたが、制限が欠落していました。
そのため、外部の攻撃者がCookieに不正な値をセットしてアクセスすることで、サーバー側でその値を処理させ、任意のショートコードを展開・実行させることが可能でした。
対策版では、ログイン状態のチェックと、ショートコードの除去処理(strip_shortcodes)が実装されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(14.3.4 以降)へ更新してください。
- 不審な表示の確認
- サイト上に身に覚えのないフォームやコンテンツが表示されていないか確認してください。
- 万が一、不審な表示が確認された場合は、直ちにプラグインを停止し、専門家へ相談してください。
影響を受けるバージョン
BuddyPress 14.3.3 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2024-11976 
/ RESERVED(2026年1月23日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.3 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2024-11976 悪用確率 0.15% (上位64%) 2026年1月23日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
BuddyPress プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
