WordPressでフロントエンドからの投稿送信機能を提供するプラグイン「User Submitted Posts」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 20251210 までのすべてのバージョンです。
本脆弱性を悪用された場合、悪意ある第三者が投稿送信フォームを通じて不正なスクリプトを埋め込み、そのページを閲覧したユーザーのブラウザ上でスクリプトが実行される可能性があります。
対策として、バージョン 20260110 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、ユーザーが送信したカスタムフィールドの値を投稿ページに表示する処理において、特定の文字やコードを安全な形式に変換する処理(サニタイズ)が適切に行われていなかったことに起因します。
その結果、攻撃者がカスタムフィールド入力欄に悪意のあるJavaScriptを埋め込んだ場合、そのコードがサーバー上のデータベースに保存され、該当ページを閲覧したユーザーのブラウザ上で実行される恐れがありました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
閲覧者への攻撃(蓄積型XSS)
- 攻撃者が投稿送信フォームから送信したスクリプトがサイト内に保存され、そのページを閲覧したユーザーのブラウザ上で実行される
- 閲覧者のセッション情報(Cookie)が盗まれ、管理者を含むアカウントが乗っ取られる可能性がある
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 攻撃者が、投稿送信フォームからスクリプトを含むカスタムフィールド値を送信する
- 該当の投稿が公開され、ユーザーがそのページを閲覧する
攻撃者はログインしていない状態でも攻撃が可能です。
技術的な詳細
本脆弱性は、カスタムフィールドの自動表示機能において、ユーザーが入力した値(投稿者名、カスタムフィールド値など)がサニタイズ処理なしで直接HTMLに出力されていた点が原因です。
そのため、ブラウザがこれらの値を単なる文字としてではなく、実行可能なプログラムとして解釈してしまう状態となっていました。
対策版では、サニタイズ処理が追加され、許可されていないHTMLタグ(<script>タグ等)が除去されるようになっています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(20260110 以降)へ更新してください。
- 不審な投稿の確認
- WordPress管理画面の「投稿」一覧より、User Submitted Postsで受け付けた投稿に不審な内容が含まれていないか確認してください。
- 特に、カスタムフィールドの値に <script> や javascript: などの文字列が含まれている投稿がないか確認してください。
- 不審な投稿が見つかった場合は、該当投稿の削除または編集を行ってください。
- セキュリティ対策の強化
- WAF(Web Application Firewall)の導入は、XSS攻撃のリクエストを遮断するのに有効です。
⇒不審な操作履歴や管理者の意図しないアカウント作成などが確認された場合は、WordPressの専門家への相談を推奨します。
影響を受けるバージョン
User Submitted Posts 20251210 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-0800 
(公開日 2026年1月24日 更新日 2026年1月26日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-0800 悪用確率 0.10% (上位73%) 2026年1月31日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
User Submitted Posts プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
