WordPressでZarinPal決済機能を提供するプラグイン「Zarinpal Gateway for WooCommerce」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 5.0.16 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、未払いの注文が「支払い済み」に変更される可能性があります。
対策として、バージョン 5.0.17 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、決済後にZarinPalからサイトに戻る際のコールバック処理において、リクエストに含まれる決済トークンと注文の紐付けを検証していなかったことに起因します。
その結果、攻撃者が同一金額で正規に決済を行って取得した有効なトークンを、別の注文のコールバックとして送信することで、未払いの注文を「支払い済み」として処理させることが可能な状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
注文ステータスの不正な変更
- 実際には支払いが行われていない注文が「支払い済み」に変更される可能性
- これにより、未払いのまま商品の発送処理が進行するおそれ
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 攻撃者が、対象の注文と同一金額の別の注文を正規に決済し、有効な決済トークンを取得している
- 攻撃者が、対象の注文IDを把握している
攻撃にはこれらの条件を満たす必要があるため、偶発的に成功する可能性は低いものの、条件がそろった場合には認証なしで実行される可能性があります。
技術的な詳細
本脆弱性は、決済完了後のコールバックを処理において、以下の検証が欠落していた点が原因です。
(1) 決済トークンと注文の紐付け検証の欠落
修正前のコードでは、コールバック受信時に決済トークンを直接決済プラットフォームのAPI検証に渡しており、そのトークンが当該注文に対して発行されたものであるかを事前に確認する処理がありませんでした。
決済プラットフォーム側の検証はトークンの有効性と金額の一致のみを確認するため、同一金額の別取引のトークンが使用された場合にも検証が通過する可能性がありました。
(2) 支払い済み注文の二重処理防止の欠落
すでに支払いが完了した注文に対して、コールバック処理が再度実行されることを防ぐチェックがありませんでした。
対策版(5.0.17)では、決済リクエスト時にトークンを注文メタデータとして保存し、コールバック受信時に保存済みトークンとの照合を行う処理が追加されています。また、支払い済み注文に対するコールバックの再処理を防止するチェックも実装されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(5.0.17 以降)へ更新してください。
- 被害確認
- WooCommerce管理画面の「注文」メニューより、身に覚えのない「支払い済み」ステータスの注文が存在しないか確認してください。
- 注文メモ欄を確認し、ユーザーが決済画面に遷移した記録がないにもかかわらず「支払い済み」となっている注文がないかを確認してください。
- 不審な注文が確認された場合は、該当注文の出荷を保留し、決済プラットフォーム側の取引履歴と照合してください。
- 今後の予防策
- 注文IDが連番で推測されやすい場合は、WooCommerceの注文番号をランダム化するプラグインの導入を検討してください。
⇒不審な注文や身に覚えのない決済完了が確認された場合は、WordPressやWooCommerceの専門家への相談を推奨します。
影響を受けるバージョン
Zarinpal Gateway for WooCommerce 5.0.16 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-2592 
(公開日 2026年2月17日 更新日 2026年2月17日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.7 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-2592 悪用確率 0.09% (上位75%) 2026年3月8日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Zarinpal Gateway for WooCommerce プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
