WooCommerce商品ページにカスタムフィールドやオプションを追加するプラグイン「Product Addons for Woocommerce – Product Options with Custom Fields」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.1.0 までのすべてのバージョンです。
本脆弱性を悪用された場合、ショップ管理者以上の権限を持つユーザーによって、サーバー上で任意のPHPコードを実行される可能性があります。
対策として、バージョン 3.1.1 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、商品オプションの表示条件を制御する処理(条件付きロジック)において、内部で使用される演算子の値に対する検証が不十分であったことに起因します。
その結果、ショップ管理者以上の権限を持つユーザーが、フォームフィールドのルール設定を保存する際に不正な値を挿入することで、サーバー上で意図しないPHPコードが実行される可能性がある状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
不正なコードの実行
- ショップ管理者以上の権限を持つユーザーが、条件付きロジックの設定を通じて、サーバー上で任意のPHPコードを実行できる状態となっていました
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 攻撃者がショップ管理者(Shop Manager)以上の権限を持つアカウントを利用できる状態であること
- 攻撃者が該当プラグインの商品オプション設定画面にアクセスし、条件付きロジックのルールを保存する操作を行うこと
技術的な詳細
本脆弱性は、条件付きロジックの評価処理において、ルール間をつなぐ演算子(operator)の値が、許可された論理演算子であるかを検証せずに、PHPの eval() 関数(文字列をプログラムコードとして実行する関数)に渡されていた点が原因です。
本来、この演算子には「and」「or」などの論理演算子のみが入るべきでしたが、検証処理が存在しなかったため、任意のPHPコードを挿入・実行させることが可能な状態でした。
対策版(3.1.1)では、あらかじめ許可された論理演算子のみを受け付けるよう正規表現による検証処理が追加されており、不正な値は空文字に置き換えられるようになっています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.1.1 以降)へ更新してください。
- 被害確認
- 該当プラグインの商品オプション設定(条件付きロジック)に、
不審なルールや意図しない設定値が含まれていないか確認してください。 - ショップ管理者以上の権限を持つアカウントに、身に覚えのないものが存在しないか確認してください。
- 該当プラグインの商品オプション設定(条件付きロジック)に、
- 追加のセキュリティ対策
- ショップ管理者アカウントのパスワードを変更し、不要なアカウントが存在しないか見直してください。
⇒不審な点が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Product Addons for Woocommerce – Product Options with Custom Fields 3.1.0 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-2296 
(公開日 2026年2月18日 更新日 2026年2月18日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-2296 悪用確率 0.07% (上位78%) 2026年3月8日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Product Addons for Woocommerce プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
