WordPressでWooCommerce向けのページ構築や機能拡張を行うプラグイン「ShopLentor – WooCommerce Builder for Elementor & Gutenberg +21 Modules – All in One Solution」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.3.2 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、サイトのメール送信機能が不正に利用される可能性があります。
対策として、バージョン 3.3.3 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグインが提供する「価格提案(Suggest Price)」機能のメール送信処理において、送信先メールアドレスやメール本文などの重要なパラメータについて、外部からの入力値がサーバー側で検証されないまま使用されていたことに起因します。
その結果、第三者がリクエストデータを細工することで、サイトのメールサーバーを経由して任意の宛先に任意の内容のメールを送信させることが可能な状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
サイトのメール送信機能の不正利用
- 攻撃者が指定した任意のメールアドレスに対して、サイトのメールサーバーを経由したメールが送信される可能性
- メールの件名・本文・送信者情報も攻撃者が制御できるため、フィッシングメールや迷惑メールの送信に悪用されるおそれ
- サイトのドメインがスパム送信元として判定され、正規のメール(注文確認メールなど)が届かなくなる可能性
被害発生の条件
- 攻撃者がサイトにアクセス可能な状態であれば、管理者やユーザーの操作に関わらず攻撃が可能
(ログインしていない状態でも悪用されるおそれがあります)
技術的な詳細
本脆弱性は、「価格提案」機能のAjax処理において、以下の2つの問題が重なったことが原因です。
(1) メール送信先アドレスがユーザー入力に依存
メールの宛先がクライアントからのリクエストデータとしてそのまま受け取られ、サーバー側での検証なくメール送信関数に渡されていました。本来、送信先はサーバー側で管理すべきですが、外部から任意の値を指定できる状態でした。
(2) メールヘッダへの不正な値の注入(CRLFインジェクション)
送信者のメールアドレスに対して、入力値の安全処理は一部適用されていましたが、メールヘッダにおける改行コードの注入を防ぐには不十分なものでした。そのため、攻撃者が改行コードを含む値を送信することで、追加のメールヘッダを注入し、送信先をさらに拡大できる可能性がありました。
なお、この機能にはnonce(安全確認用のコード)による検証が実装されていましたが、nonceは公開ページ上のフォームから取得できるため、未認証の攻撃者にとって障壁とはなりませんでした。
対策版では、送信先メールアドレスをサーバー側の一時保存データから取得する方式に変更され、すべての入力値に対して適切な安全処理が実装されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.3.3 以降)へ更新してください。
- 被害確認
- メールサーバーの送信ログを確認し、身に覚えのない宛先への大量送信がないか確認してください。
- サイトのドメインがメールのブラックリストに登録されていないか確認してください。
登録されている場合、正規のメール(WooCommerceの注文確認メールなど)が届かなくなっている可能性があります。
- 追加のセキュリティ対策
- WAF(Web Application Firewall)の導入は、不正なAjaxリクエストの遮断に有効です。
⇒大量の不正メール送信が確認された場合は、メールサーバーの管理者やWordPressの専門家への相談を推奨します。
影響を受けるバージョン
ShopLentor – WooCommerce Builder for Elementor & Gutenberg +21 Modules – All in One Solution 3.3.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-1714 
(公開日 2026年2月18日 更新日 2026年2月18日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.6 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-1714 悪用確率 0.08% (上位76%) 2026年3月8日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
ShopLentor プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
