WooCommerce商品フィードの作成・管理を行うプラグイン「CTX Feed – WooCommerce Product Feed Manager」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 6.6.11 までのすべてのバージョンです。
本脆弱性を悪用された場合、プラグインのインストールに関する操作が、本来意図されていないユーザーによって実行される可能性があります。
対策として、バージョン 6.6.12 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグイン内の「おすすめプラグイン」をインストールする管理機能において、操作を行ったユーザーが適切な権限を持っているかを確認する処理が実装されていなかったことに起因します。
その結果、ショップ管理者(Shop Manager)以上の権限を持つユーザーであれば、本来は管理者(Administrator)のみに許可されるべきプラグインのインストール・有効化操作を実行できる状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
不正なプラグインのインストール
- ショップ管理者以上の権限を持つユーザーが、WordPress.orgリポジトリ上の任意のプラグインをインストールし、有効化できる
- インストールされたプラグインに脆弱性が含まれていた場合、それを通じた二次的な攻撃に発展する可能性がある
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 攻撃者がショップ管理者(Shop Manager)以上の権限でログイン
- 攻撃者がCTX Feedの管理画面にアクセスし、セキュリティトークン(nonce)を取得済
技術的な詳細
本脆弱性は、プラグインのインストール処理を受け付けるAJAX(非同期通信)の処理部分において、ユーザー権限の確認が行われていなかった点が原因です。
リクエストの偽造を防ぐための安全確認用コード(nonce)は実装されていましたが、このnonceチェックはリクエストが正規の画面から送信されたものかを確認するだけであり、「操作を行ったユーザーがプラグインのインストール権限を持つか」は検証していませんでした。
そのため、ショップ管理者権限を持つユーザーが管理画面にアクセスしてnonceを取得した上で、インストール対象を指定したリクエストを送信すると、任意のプラグインがインストール・有効化される状態でした。
対策版(6.6.12)では、インストール処理の2箇所に、管理者権限の確認処理が追加されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(6.6.12 以降)へ更新してください。
- 被害確認
- WordPress管理画面の「プラグイン」メニューより、
身に覚えのないプラグインがインストール・有効化されていないか確認してください。 - 不審なプラグインが確認された場合は、速やかに無効化・削除してください。
- WordPress管理画面の「プラグイン」メニューより、
- ユーザー権限の見直し
- ショップ管理者(Shop Manager)権限を付与しているユーザーが適切かどうか確認してください。
- 不要なアカウントや不審なアカウントが存在する場合は、削除または権限の変更を行ってください。
⇒不審なプラグインやアカウントが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
CTX Feed – WooCommerce Product Feed Manager 6.6.11 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-12975 
(公開日 2026年2月19日 更新日 2026年2月19日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-12975 悪用確率 0.19% (上位60%) 2026年2月19日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
CTX Feed プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
