WordPressでポップアップ表示やゲーミフィケーション機能を提供するプラグイン「Popup builder with Gamification」(正式名称:Popup builder with Gamification, Multi-Step Popups, Page-Level Targeting, and WooCommerce Triggers)において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.2.0 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、データベースに保存された情報を不正に取得される可能性があります。
対策として、バージョン 2.2.3 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグインが独自に追加した複数のREST APIエンドポイント(プラグインが外部からのデータ要求を受け付ける窓口)において、送信されたデータの安全性を十分に確認できていない状態にあったことに起因します。
その結果、攻撃者が細工したリクエストを送信することで、本来アクセスできないデータベース上の情報を読み取ることが可能な状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
データベース情報の漏洩
- プラグインが管理するポップアップの表示ログや購読者情報(メールアドレスなど)が読み取られる可能性
- SQLインジェクションの性質上、同一データベース内の他の情報にも影響が及ぶ可能性
被害発生の条件
サイトが公開されており、プラグインが有効化されていれば攻撃可能です。管理者やユーザーの操作は不要です。
技術的な詳細
本脆弱性は、プラグインが独自に追加したデータ取得用REST APIにおいて、リクエストパラメータをデータベース問い合わせ文に組み込む際、安全な値の受け渡し処理(プレースホルダによるパラメータバインド)が実装されていなかった点が原因です。
具体的には、ログの取得・購読者データの取得などを担う複数のエンドポイントで、外部から渡されたテーブル名や日付、IDなどの値がSQL文に直接連結されていました。加えて、これらのエンドポイントには認証の仕組みが設定されていませんでした。
対策版では、すべてのパラメータに対してプレースホルダを用いた安全なクエリ構築が実装されるとともに、入力値のバリデーションやサニタイズ処理が追加されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.2.3 以降)へ更新してください。
- バージョン 2.2.1 で未認証ユーザーからの攻撃への対策が行われましたが、完全な修正は 2.2.3 で提供されています。
- 被害確認
- WordPress管理画面の「ユーザー」メニューより、
身に覚えのないユーザーアカウントが作成されていないか確認してください。 - サーバーのアクセスログにおいて、プラグインのREST APIエンドポイントへの不審なリクエスト(通常と異なるパラメータを含むリクエストなど)がないか確認してください。
- WordPress管理画面の「ユーザー」メニューより、
- 追加のセキュリティ対策
- 万が一情報漏洩の痕跡が確認された場合は、安全のため管理者アカウントのパスワード変更を推奨します。
⇒不審なアクセスや情報漏洩の痕跡が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Popup builder with Gamification, Multi-Step Popups, Page-Level Targeting, and WooCommerce Triggers 2.2.0 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-13192 
(公開日 2026年2月4日 更新日 2026年2月5日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.2 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-13192 悪用確率 0.08% (上位76%) 2026年2月6日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Popup builder with Gamification プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
