WordPressでユーザー登録の承認管理を行うプラグイン「New User Approve」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.2.2 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者が、ユーザー登録の承認や拒否を行ったり、登録ユーザーの機密情報を取得したりする可能性があります。
対策として、バージョン 3.2.3 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグインがモバイルアプリ連携機能として提供しているAPI(プログラム間の通信機能)において、アクセス権限の確認が行われていなかったことに起因します。
WordPressには、外部のプログラムから機能を呼び出すためのREST APIという仕組みが用意されています。プラグインはこの仕組みを利用してモバイルアプリからの管理操作を可能にしていましたが、本来必要な「管理者のみがアクセス可能」という制限が実装されていませんでした。
その結果、ログインしていない第三者が、管理者向けの機能に直接アクセスできる状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
ユーザー登録の不正操作
- 攻撃者が、ユーザー登録申請を任意に承認または拒否できる
- 正当なユーザーの登録を妨害したり、不正なアカウントを承認したりすることが可能
- サイトの会員制機能が適切に機能しなくなる恐れ
登録ユーザー情報の漏洩
以下の情報が、外部から取得される可能性があります。
- ユーザーID
- ログイン名と表示名
- メールアドレス
- ユーザーの権限レベル(管理者、編集者、購読者など)
- 登録日時
- 承認状態(承認済み、承認待ち、拒否など)
これらの情報は、フィッシングメール(本物を装った偽のメール)など他の攻撃に悪用される可能性があります。
被害発生の条件
本脆弱性は、以下の条件で悪用される可能性があります。
- 攻撃者がサイトのURLを知っている
- 攻撃者がAPIに対してHTTPリクエストを送信する
管理者やユーザーの操作は一切不要で、ログインしていない状態でも攻撃が可能です。
技術的な詳細
本脆弱性は、プラグインが登録したREST APIエンドポイント(外部から呼び出せる機能の入口)において、権限確認の設定が不適切だったことが原因です。
WordPressのREST API機能では、各エンドポイントに「permission_callback」という設定項目を指定することで、「誰がこの機能を使えるか」を制御します。本来であれば、管理者権限を持つユーザーのみに制限する必要がありましたが、プラグインではこの設定が「常に許可する」という内容になっていました。
そのため、以下のような管理者向け機能が、未認証の状態で呼び出せる状態となっていました。
- ユーザー登録の承認処理
- ユーザー登録の拒否処理
- ユーザー詳細情報の取得
- 全ユーザーリストの取得
- ダッシュボード統計情報の取得
- モバイルアプリ連携設定の操作
対策版では、これらのエンドポイントに適切な権限確認処理が実装されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.2.3 以降)へ更新してください。
- 被害確認
- ユーザー登録状況の確認
WordPress管理画面の「ユーザー」メニューより、意図しない承認や拒否が行われたユーザーがいないか確認してください。特に、承認した覚えのないユーザーや、正当な理由なく拒否されているユーザーがいないか注意してください。 - 不審なユーザーアカウントの確認
管理者権限を持つユーザーの一覧を確認し、不明なアカウントが追加されていないか確認してください。不審なアカウントが確認された場合は、直ちに削除してください。
- ユーザー登録状況の確認
- 今後の予防策
- アクセスログの監視
サーバーのアクセスログで、/wp-json/nua-request/v1/へのアクセス履歴を確認できる場合は、不審なアクセスがないか確認してください。
- アクセスログの監視
⇒不審なユーザーアカウントや不正な操作履歴が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
New User Approve 3.2.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-0832 
(公開日 2026年1月28日 更新日 2026年1月28日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.3 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-0832 悪用確率 0.07% (上位79%) 2026年1月31日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
New User Approve プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
