WordPressでCookieの同意バナーやプライバシー対応を行うプラグイン「Cookie Banner for GDPR / CCPA – WPLP Cookie Consent」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 4.1.2 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、プラグインに保存されたAPIトークンやアカウント情報などの機密情報が取得される可能性があります。
対策として、バージョン 4.1.3 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグインが独自に提供するREST APIの認証処理に不備があったことに起因します。
その結果、認証されていない第三者がAPIにリクエストを送信するだけで、本来はアクセスが制限されるべき設定情報の取得が可能な状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
機密情報の漏洩
プラグインの設定情報として保存されている以下の情報が、第三者に取得される可能性があります。
- API認証トークン(外部サービスとの連携に使用される認証情報)
- アカウントのメールアドレス
- アカウントID・サイトキー(外部サービスとの連携に使用される識別子)
特にAPI認証トークンは、プラグインのAPI認証そのものに用いられる情報であるため、漏洩した場合は第三者が正規のリクエストを偽装できる状態となります。
また、漏洩した情報を用いて、外部の連携サービス(WPLegalPages Webapp)に対する不正アクセスが試みられるおそれがあります。
被害発生の条件
攻撃者がサイトのREST APIにアクセス可能な状態であれば、管理者やユーザーの操作に関わらず攻撃が可能です。
(ログインしていない状態でも悪用されるおそれがあります)
技術的な詳細
本脆弱性は、プラグインが独自に登録したREST APIエンドポイントの権限チェック処理において、認証トークンが「送信されているかどうか」のみを確認し、サーバー側に保存された正規のトークンと一致するかの検証を行っていなかった点が原因です。
旧バージョンでは、トークンパラメータに何らかの値が含まれていれば、その内容に関係なく認証を通過できる状態でした。
対策版(4.1.3)では、サーバー側に保存された正規トークンとの安全な比較処理が追加され、正しいトークンを持たないリクエストは拒否されるようになっています。
なお、本脆弱性の影響は設定情報の読み取りに限定されており、このエンドポイント経由で設定を変更・削除する機能は確認されていません。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(4.1.3 以降)へ更新してください。
- 被害確認
- WPLegalPages Webappとの連携を利用している場合は、連携サービス側で身に覚えのないアクセスや操作がないか確認してください。
- 連携サービス側でAPIトークンの再生成(ローテーション)が可能な場合は、プラグイン更新後に実施することを推奨します。
- 追加のセキュリティ対策
- REST APIへのアクセスを制限するWAF(Webアプリケーションファイアウォール)の導入が有効です。
⇒不審なアクセスが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Cookie Banner for GDPR / CCPA – WPLP Cookie Consent 4.1.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-11754 
(公開日 2026年2月19日 更新日 2026年2月19日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-11754 悪用確率 0.04% (上位88%) 2026年2月19日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
WPLP Cookie Consent プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
