WordPressでWooCommerceのメールテンプレートをカスタマイズするプラグイン「YayMail – WooCommerce Email Customizer」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 4.3.2 までのすべてのバージョンです。
本脆弱性を悪用された場合、ショップマネージャー以上の権限を持つユーザーがWordPressサイトの基本設定を不正に書き換え、管理者権限を取得される可能性があります。
対策として、バージョン 4.3.3 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグインが提供するテンプレートのインポート機能において、権限チェックの欠如とデータ復元範囲の制限不備が重なったことに起因します。
その結果、本来は許可されていないWordPressサイト全体の設定変更が可能な状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
サイト設定の不正変更と権限昇格
- WordPressの基本設定(ユーザー登録の許可設定や、新規登録ユーザーに付与される初期権限など)が攻撃者によって書き換えられる可能性
- 設定変更を利用して、攻撃者が管理者権限を持つ新規アカウントを作成するおそれ
これにより、管理画面への不正アクセスにつながる可能性があります。
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 攻撃者がWordPressにログイン済みであること(プラグイン管理画面にアクセス可能なショップマネージャー以上の権限が必要)
- 攻撃者が、プラグインのインポート機能に対して細工したファイルを送信すること
管理者がリンク誘導等によって被害を受けるタイプ(CSRF)ではなく、攻撃者自身が直接操作を行う形態です。
技術的な詳細
本脆弱性は、以下の2つの問題の組み合わせにより成立していました。
(1)インポート処理における権限チェックの欠如
テンプレートの状態をインポートするAJAX処理において、リクエストの正当性を確認するnonce(ノンス)検証は行われていたものの、操作を実行するユーザーが十分な権限を持っているかを確認する処理(capability check)が実装されていませんでした。
(2)復元対象のデータ範囲が無制限
インポートされたデータを復元する内部処理において、データベース上の設定値を更新する際に、プラグイン自身の設定に限定するフィルタが存在しませんでした。そのため、インポートファイルにWordPress本体の設定項目が含まれていた場合、それらも無条件に上書きされる状態でした。
対策版(4.3.3)では、設定値の復元対象をプラグイン固有のオプション(名前に「yaymail」を含むもの)のみに制限する修正が行われています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(4.3.3 以降)へ更新してください。
- 被害確認
- WordPress管理画面の「設定」→「一般」より、「メンバーシップ」(だれでもユーザー登録ができるようにする)が意図せず有効になっていないか確認してください。
- 同画面の「新規ユーザーのデフォルト権限グループ」が「管理者」など不適切な値に変更されていないか確認してください。
- WordPress管理画面の「ユーザー」メニューより、身に覚えのない管理者アカウントが存在しないか確認してください。
- 不審な設定変更やアカウントが確認された場合は、設定の修正および該当ユーザーの削除を行ってください。
- 追加のセキュリティ対策
- ショップマネージャー権限のアカウントが不要に付与されていないか、定期的に確認してください。
⇒不審なアカウントや設定変更が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
YayMail – WooCommerce Email Customizer 4.3.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-1937 
(公開日 2026年2月18日 更新日 2026年2月18日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.8 (緊急) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-1937 悪用確率 0.04% (上位87%) 2026年2月19日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
YayMail – WooCommerce Email Customizer プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
