WordPressでSEO最適化やAIコンテンツ生成を行うプラグイン「Search Atlas SEO – Premier SEO Plugin for One-Click WP Publishing & Integrated AI Optimization」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.4.4 から 2.5.12 までのすべてのバージョンです。
本脆弱性を悪用された場合、サイトに登録済みの低権限ユーザーによって、管理者権限が不正に取得される可能性があります。
現時点で対策版は提供されていないため、プラグインの一時停止を強く推奨します。
脆弱性詳細
本脆弱性は、プラグインが提供する認証機能において、操作を行うユーザーの権限を確認する処理が実装されていない状態にあったことに起因します。
その結果、サイトに登録済みの低権限ユーザー(購読者レベル)が、本来管理者のみが使用すべき機能を通じて認証情報を取得し、管理者として不正にログインすることが可能な状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
管理者権限の不正取得
- サイトに登録済みの低権限ユーザー(購読者レベル)が、プラグインの機能を悪用して認証情報を取得する
- 取得した情報を使用して、サイトの管理者アカウントとして不正にログインされる
- WordPress管理画面へのアクセスが可能となり、管理者が行えるすべての操作が実行可能な状態となる
被害発生の条件
以下の条件が揃った場合に、被害が発生する可能性があります。
- 攻撃者がサイトに低権限ユーザー(購読者レベル)としてアカウントを持っている
- 攻撃者がプラグインの特定の機能にアクセスする
ユーザー登録機能が有効なサイト(コメント投稿のため等)では、攻撃者が低権限アカウントを作成できる場合があり、特に注意が必要です。
技術的な詳細
本脆弱性は、以下の2つの機能において、ユーザーの権限を確認する処理が実装されていなかった点が原因です。
- 認証用URL生成機能 (
generate_sso_url)- 本来は管理者のみが使用すべき機能
- しかし、どのログインユーザーでもこの機能を呼び出すことが可能
- この機能を呼び出すと、管理者としてログインするための認証情報(APIキー)が取得できる
- 認証トークン検証機能 (
validate_sso_token)- 取得した認証情報を使用することで、管理者として自動的にログイン処理が実行される
- この処理でも、リクエストを送信したユーザーの身元や権限を確認する仕組みがない
本来であれば、これらの機能には「管理者権限を持つユーザーのみが実行可能」という制限(capability check)を実装する必要がありましたが、この確認処理が欠落していました。そのため、低権限ユーザーであっても、これらの機能を悪用することで管理者権限を取得することが可能となっていました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの一時停止
- 現時点で対策版が提供されていないため、プラグインを一時的に無効化してください
- WordPress管理画面の「プラグイン」メニューから、該当プラグインを「停止」してください。
- 対策版がリリースされるまで、プラグインの使用を控えることを推奨します。
- 不正なアクセスの確認
- 管理者アカウントの確認
WordPress管理画面の「ユーザー」メニューより、身に覚えのない管理者アカウントが追加されていないか確認してください。不審なアカウントが見つかった場合は、直ちに削除してください。 - ログインログの確認
セキュリティプラグイン等でログイン履歴を記録している場合は、不審なログインがないか確認してください。特に、短時間に複数のユーザーでログインしている記録がある場合は注意が必要です。 - コンテンツの改ざん確認
サイトのページや投稿に、意図しない変更がないか確認してください。管理画面の「外観」→「テーマエディター」や「プラグインエディター」で、ファイルが改ざんされていないか確認してください。
- 管理者アカウントの確認
- ユーザー登録設定の見直し
- WordPress管理画面の「設定」→「一般」より、「だれでもユーザー登録ができるようにする」のチェックを外すことを検討してください。
- 必要な場合のみ、ユーザー登録を有効化してください。
- セキュリティ対策の強化
- 管理者アカウントのパスワードを複雑なものに変更してください。
- 二要素認証(2FA)の導入を検討してください。
- セキュリティプラグインによるログイン制限の設定を検討してください。
⇒ 不審なアカウントやコンテンツの改ざんが確認された場合は、WordPressの専門家への相談を推奨します。
影響を受けるバージョン
Search Atlas SEO – Premier SEO Plugin for One-Click WP Publishing & Integrated AI Optimization 2.4.4 から 2.5.12 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-14386 
(公開日 2026年1月28日 更新日 2026年1月28日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.8 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-14386 悪用確率 0.11% (上位71%) 2026年1月31日時点
(今後30日以内に悪用される確率 )
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Search Atlas SEO プラグインをご利用中のお客様には、
プラグインの使用状況および推奨対応事項について、順次メールにてご案内しております。
WordPress プラグイン Search Atlas SEO – Premier SEO Plugin for One-Click WP Publishing & Integrated AI Optimization 情報
| セキュリティ告知 | このプラグインの公開は 2026-01-23 に停止されており、現在は、ダウンロードできません。 This plugin has been closed as of January 23, 2026 and is not available for download. This closure is temporary, pending a full review. |
|---|
