WordPressから送信されるメールのログを記録・閲覧するプラグイン「WP Mail Logging」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.15.0 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者が、メール送信機能を通じてデータベースに不正なデータを保存させることが可能です。その後、管理者がメールログを閲覧した際に、意図しないPHPオブジェクトが生成される可能性があります。
対策として、バージョン 1.16.0 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、データベースに保存されたメールログの内容を読み込む処理において、データの安全性を十分に検証しないまま、PHPオブジェクトへの変換処理(デシリアライズ)が行われていたことに起因します。
サイト上にメールを送信する機能(お問い合わせフォームなど)がある場合、攻撃者はメール本文に細工したデータを埋め込むことが可能でした。
管理者がメールログを閲覧した際に、この不正なデータが検証なしに変換され、意図しないPHPオブジェクトが生成される状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
不正なPHPオブジェクト生成による影響
WP Mail Logging単体では、既知の悪用可能な処理の連鎖(POPチェーン)は確認されていません。
ただし、サイトにインストールされている他のプラグインやテーマにPOPチェーンが含まれている場合、その内容に応じてファイルの削除・改ざん、機密情報の取得、任意コードの実行などに発展する可能性があります。
【POPチェーンとは】
PHPでは、プログラム内の情報をデータとして保存する仕組み(シリアライズ)があります。この保存されたデータを読み込む際(デシリアライズ)、本来なら安全な処理のみが行われますが、攻撃者が細工したデータを送り込むと、意図しないプログラムの動きを引き出すことがあります。
特に、「復元されたときに自動で動く危険な処理(ファイル削除など)」がプログラムの中に含まれていると、攻撃者にその処理を利用されてしまいます。
被害発生の条件
以下の条件がすべて重なった場合に、被害が発生する可能性があります。
- サイト上にメールを送信できる機能(お問い合わせフォーム等)が存在し、攻撃者がそれを通じて細工したデータを送信できる
- サイトにインストールされている他のプラグインやテーマにPOPチェーンが存在する
なお、被害が実行されるには、管理者がWP Mail Loggingの管理画面でメールログを閲覧する操作が必要です。
技術的な詳細
本脆弱性は、メールログをデータベースから読み出してプログラム内部のデータに変換する処理において、WordPressの maybe_unserialize() 関数が使用されていた点が原因です。
この関数は、渡された値がシリアライズ形式の文字列であれば、自動的にデシリアライズを実行します。その際、生成するPHPクラスの種類を制限するオプション(allowed_classes)が指定されていなかったため、任意のPHPオブジェクトが生成される状態となっていました。
攻撃者は、メール本文にシリアライズ形式の文字列を埋め込むことで、データベースにその値を保存させます。
管理者がログを閲覧すると、保存された値がデシリアライズされ、不正なオブジェクトが生成されます。
対策版では、maybe_unserialize() の使用を廃止し、unserialize() に allowed_classes => false オプションを指定することで、PHPオブジェクトの生成を禁止しています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.16.0 以降)へ更新してください。
- 被害確認(※必ず更新後に実施)
- WP Mail Loggingのメールログ一覧で、メール本文に不審な文字列(
O:やa:で始まるシリアライズ形式のデータ等)が含まれるログが存在しないか確認してください。 - 不審なログが確認された場合は、該当ログの削除を行ってください。
- 更新前にログを閲覧すると、不正なデータがデシリアライズされるリスクがあります。確認作業は必ずプラグイン更新後に行ってください。
- WP Mail Loggingのメールログ一覧で、メール本文に不審な文字列(
- 追加のセキュリティ対策
- サイトにインストールされているプラグインやテーマを最新の状態に保ってください。POPチェーンとなりうる脆弱性が他のプラグイン等で修正されている場合があります。
⇒不審なファイル改ざんや意図しないアカウント作成が確認された場合は、WordPressの専門家への相談を推奨します。
影響を受けるバージョン
WP Mail Logging 1.15.0 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-2471 
(公開日 2026年2月28日 更新日 2026年3月2日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-2471 悪用確率 0.04% (上位87%) 2026年3月8日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
WP Mail Logging プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
