WordPressでレストラン向けのオンライン注文機能を提供するプラグイン「Orderable – WordPress Restaurant Online Ordering System and Food Ordering Plugin」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.20.0 までのすべてのバージョンです。
本脆弱性を悪用された場合、サイトに登録済みの低権限ユーザー(購読者レベル)によって、WordPress公式リポジトリ上の任意のプラグインを不正にインストール・有効化される可能性があります。
本脆弱性に対する対策バージョンは現時点で提供されていないため、該当プラグインの無効化または削除を推奨します。
脆弱性詳細
本脆弱性は、プラグインの初期設定を支援する機能(オンボード機能)に含まれるプラグインインストール処理において、操作を行うユーザーの権限を確認する処理が実装されていなかったことに起因します。
その結果、本来は管理者のみが行えるプラグインのインストールおよび有効化の操作が、購読者(Subscriber)などの低権限ユーザーでも実行可能な状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
不正なプラグインの導入による影響
- WordPress公式リポジトリに登録されている任意のプラグインが、管理者の意図なくインストール・有効化される可能性
- 既知の脆弱性を持つプラグインを意図的に導入されることで、導入されたプラグインの脆弱性を悪用され、さらなる被害につながるおそれ
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 対象サイトでOrderableプラグインが有効化されている
- 攻撃者がサイトに購読者(Subscriber)以上のアカウントを持っている
管理者による操作は不要であり、攻撃者自身の操作だけで攻撃が成立します。
技術的な詳細
本脆弱性は、プラグインの初期設定機能に含まれるプラグインインストール処理において、操作を行うユーザーが管理者権限を持っているかを確認する仕組みが欠落していたことが原因です。
WordPressでは、プラグインのインストールのような管理者限定の操作に対して、ユーザーの権限レベルを確認し、権限のないユーザーからの操作を拒否する必要があります。
しかし、該当する処理では、この権限確認が一切行われていませんでした。同じファイル内の他の処理(設定の保存やモーダルの非表示化)にはリクエストの正当性を確認する仕組み(nonce検証)が実装されていましたが、プラグインインストール処理にはこの検証も含まれていませんでした。
そのため、ログイン済みであればどの権限レベルのユーザーでも、管理画面向けの内部リクエストを送信することでWordPress公式リポジトリ上のプラグインをインストール・有効化させることが可能な状態でした。
脆弱性の種類
推奨対応事項
本脆弱性に対する対策バージョンは、現時点で提供されていません。以下の対応を強く推奨します。
- プラグインの無効化または削除
- 対策バージョンが提供されるまで、Orderableプラグインを無効化してください。
- 不正にインストールされたプラグインの確認
- WordPress管理画面の「プラグイン」メニューより、
身に覚えのないプラグインがインストール・有効化されていないか確認してください。 - 不審なプラグインが確認された場合は、直ちに無効化・削除を行ってください。
- WordPress管理画面の「プラグイン」メニューより、
- ユーザーアカウントの確認
- 「ユーザー」メニューより、不審なアカウント(特に購読者レベル)が登録されていないか確認してください。
- サイトへのユーザー登録が不要な場合は、「設定」>「一般」で「だれでもユーザー登録ができるようにする」を無効にすることで、攻撃の前提条件を排除できます。
⇒不審なプラグインやアカウントが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Orderable – WordPress Restaurant Online Ordering System and Food Ordering Plugin 1.20.0 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-0974 
(公開日 2026年2月19日 更新日 2026年2月24日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.8 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-0974 悪用確率 0.24% (上位53%) 2026年3月8日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Orderable プラグインをご利用中のお客様には、
本脆弱性の影響および推奨対応事項について、順次メールにてご案内しております。
WordPress プラグイン Orderable 情報
| 最新版 バージョン | 1.20.1 |
|---|---|
| 対象 WordPress バージョン | 5.4 またはそれ以降 検証済み最新バージョン : 6.9.1 |
| 有効インストール数 | 6,000+ |
| 関連 ページ |
プラグインページ
|
