WordPressでGoogle AnalyticsやFacebook Pixelなどのタグ管理を行うプラグイン「PixelYourSite – Your smart PIXEL (TAG) & API Manager」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 11.2.0 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって注文データに不正なスクリプトが埋め込まれ、管理者のブラウザ上で実行される可能性があります。
対策として、バージョン 11.2.0.1 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、注文時のトラフィック情報(ランディングページや流入元など)を記録する処理において、ブラウザのCookieから取得した値の安全性を十分に確認しないままデータベースへ保存していたことに起因します。
Cookieの値は利用者自身が自由に変更できるため、攻撃者が不正なスクリプトを含む値をセットすることで、管理者が注文関連の画面を閲覧した際にスクリプトが実行される可能性がある状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
管理者への攻撃(蓄積型XSS)
- 攻撃者が埋め込んだ不正なスクリプトが注文データとしてサイト内に保存され、管理者が管理画面で注文に関連するデータを閲覧した際にブラウザ上で実行される
- これにより、管理者のセッション情報(Cookie)が窃取され、管理者権限で不正な操作が行われるおそれがある
被害発生の条件
- 攻撃者がサイト上でチェックアウト処理を実行できる状態であること(ログイン不要)
- 管理者が管理画面で注文に関連するデータを閲覧すること
技術的な詳細
本脆弱性は、注文時にトラフィック情報を収集・保存する処理において、ブラウザのCookie(pys_landing_page、pysTrafficSource)から取得した値に対し、安全な形式への変換処理(サニタイズ)が適用されていなかった点が原因です。
同処理では、HTTPリクエストのパラメータから値を取得する場合にはサニタイズが行われていましたが、リクエストパラメータが存在しない場合に代わりに使用されるCookie値にはサニタイズが適用されていませんでした。
そのため、攻撃者が該当Cookieに不正なスクリプトを含む値をセットし、チェックアウト処理を実行すると、その値が注文メタデータとしてそのままデータベースに保存されていました。
対策版では、Cookie・セッションから値を取得するすべての経路にサニタイズ処理が追加されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(11.2.0.1 以降)へ更新してください。
- 被害確認
- アップデート適用後に、WooCommerce またはEasy Digital Downloads の注文一覧を確認し、トラフィックソースやランディングページの項目に、通常のURL等とは異なる不審な文字列が記録されていないか確認してください。
- アップデート前に管理画面で注文データを閲覧すると、保存済みの不正なスクリプトが実行されるリスクがあるため、必ず更新後に確認してください。
- 不審な操作が確認された場合
- 身に覚えのない管理者アカウントの作成や設定変更がないか確認してください。
- 異常が確認された場合は、管理者パスワードの変更およびWordPressの専門家への相談を推奨します。
影響を受けるバージョン
PixelYourSite – Your smart PIXEL (TAG) & API Manager 11.2.0 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-1841 
(公開日 2026年2月13日 更新日 2026年2月17日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-1841 悪用確率 0.04% (上位87%) 2026年3月8日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
PixelYourSite プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
