WordPressでコンテンツのアクセス制限や会員管理を行うプラグイン「Membership Plugin – Restrict Content」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.2.20 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者によって、本来登録できない会員プランへ不正に登録される可能性があります。
対策として、バージョン 3.2.21 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、会員登録の処理において、指定された会員プランの正当性を確認する仕組みが実装されていなかった点が原因です。
その結果、攻撃者が細工したリクエストを送信することで、公開が停止された会員プランや有料プランへの登録が成立する可能性がある状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
権限の不正取得
- 公開が停止された会員プランに高権限のロールが設定されている場合、そのプランへ不正登録されることで、攻撃者に管理者権限などが付与されるおそれがあります
- 有料の会員プランへ支払いなしで登録され、有料会員限定コンテンツへ不正にアクセスされる可能性があります
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 公開停止状態の会員プランが存在し、かつ高権限のWordPressロールが設定されている
- または、有料の会員プランが存在し、かつ攻撃者が登録フォームへアクセスできる状態
攻撃者はログインなしで攻撃を完了できますが、管理者権限の取得には上記の設定条件が揃っている必要があります。
技術的な詳細
本脆弱性は、会員登録の処理において、指定された会員プランの正当性を確認する仕組みが実装されていなかった点が原因です。
本来であれば、(1) 指定された会員プランが有効(公開中)な状態であること、(2) 有料プランへの登録には必ず支払い処理を経ること、を確認する必要がありましたが、これらの確認が行われていない状態でした。
そのため、攻撃者が特定の値を含むリクエストを送信することで登録処理が正常に進み、その会員プランに設定されたWordPressロールが攻撃者のアカウントに付与される流れとなっていました。
なお、バージョン 3.2.18 で部分的な修正が行われましたが、公開停止プランへの登録制限が不完全な状態で残っており、3.2.21 にて完全に修正されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.2.21 以降)へ更新してください。バージョン 3.2.18 は部分修正のみのため、3.2.21 への更新が必要です。
- 被害確認
- WordPress管理画面の「ユーザー」メニューより、心当たりのない管理者権限を持つアカウントが作成されていないか確認してください。
- 不審なアカウントが確認された場合は、該当ユーザーの修正または削除を行ってください。
- 公開停止プランの設定確認
- 「Restrict Content」の設定画面より、公開停止状態の会員プランに管理者などの高権限ロールが設定されていないか確認し、不要な場合は設定変更または削除を検討してください。
⇒ 不審なユーザーアカウントが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Membership Plugin – Restrict Content 3.2.20 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-1321 
(公開日 2026年3月5日 更新日 2026年3月5日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-1321 悪用確率 0.07% (上位79%) 2026年3月5日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Restrict Content プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
