WordPressでレビュー・お客様の声の投稿・表示機能を提供するプラグイン「WP Customer Reviews」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.7.5 までのすべてのバージョンです。
本脆弱性を悪用された場合、攻撃者が用意した不正なリンクをクリックしたユーザーのブラウザ上で、不正なスクリプトが実行される可能性があります。
対策として、バージョン 3.7.6 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、レビュー投稿時に送信されるデータ(投稿者名など)を処理する際、危険な文字列を取り除く処理(サニタイズ処理)が十分に行われていなかったことに起因します。
その結果、攻撃者がURLに悪意のあるスクリプトを埋め込み、そのリンクをユーザーに踏ませることで、対象ユーザーのブラウザ上でスクリプトが実行される可能性がある状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
不正なスクリプト実行による影響
- 攻撃者が用意したリンクを踏んだユーザーのブラウザ上で、意図しないスクリプトが実行される
- 管理者が対象となった場合、セッション情報(Cookie)が窃取され、管理者アカウントの乗っ取りにつながる可能性がある
- サイト訪問者が対象となった場合、偽のコンテンツが表示される可能性がある
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 攻撃者が、不正なスクリプトを含むURLを作成する
- 管理者またはサイト訪問者が、そのURLをクリックする
認証やログインの有無に関係なく、リンクをクリックした時点で影響を受ける可能性があります。
技術的な詳細
本脆弱性は、プラグインがGETリクエストやPOSTリクエストの入力データをプラグイン内部で利用するために取り込む処理において、HTMLタグやJavaScriptなどの危険な文字列を検出・除去する仕組みが実装されていなかった点が原因です。
具体的には、レビュー投稿者名のパラメータを含む入力値に対して、文字列の整形処理(エスケープ文字や前後の空白の除去)のみが行われ、XSS攻撃に使われるスクリプトコードを無害化するための処理が欠落していました。
なお、バージョン 3.7.5 でXSS検出処理の追加が試みられましたが、処理の構造上不十分であったため脆弱性が残存しました。バージョン 3.7.6 で入力値の一括サニタイズ処理が再設計され、修正が完了しています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.7.6 以降)へ更新してください。バージョン 3.7.5 では修正が不十分なため、必ず 3.7.6 以降へ更新してください。
- 被害確認
- WordPress管理画面の「ユーザー」メニューより、
意図しない管理者権限を持つユーザーが存在しないか確認してください。 - 本脆弱性を悪用する不審なリンクにアクセスした心当たりがある場合は、管理者アカウントのパスワード変更およびセッションの強制ログアウトを行ってください。
- WordPress管理画面の「ユーザー」メニューより、
- 今後の予防策
- 管理画面での作業終了後は、必ずログアウトする運用を徹底してください。
- 不審なリンクや心当たりのないURLはクリックしないよう注意してください。
⇒不審なアカウント操作が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
WP Customer Reviews 3.7.5 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-14452 
(公開日 2026年2月19日 更新日 2026年2月19日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-14452 悪用確率 0.10% (上位72%) 2026年3月8日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
WP Customer Reviews プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
