WordPressでGoogleマップやOpenStreetMapなどを使った地図・店舗情報の表示機能を提供するプラグイン「WP Maps」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 4.9.1 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者によって、データベース内の情報が読み出される可能性があります。
対策として、バージョン 4.9.2 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、管理画面のデータ一覧表示機能において、並び替え条件の指定に使われるパラメータが適切に検証されていなかったことに起因します。
このパラメータはSQLクエリに直接組み込まれる状態となっており、細工したリクエストによってデータベースへの不正な問い合わせが実行される可能性がありました。また、ログインしていない状態からでもこの処理に到達できる経路が開放されていました。
想定される被害
この脆弱性が悪用された場合、WordPressデータベース内に保存された情報(登録ユーザーのメールアドレス・ハッシュ化されたパスワードなど)が外部から読み出される可能性があります。
なお本脆弱性は、サーバーの応答時間の差を利用してデータを少しずつ推測する方式(時間差型)のSQLインジェクション(※)です。情報を取り出すには多数のリクエストと相応の時間を要するため、特定のサイトを意図的に狙った攻撃において現実的なリスクとなります。
※ SQLインジェクション:データベースへの問い合わせ処理に不正なコードを混入させる攻撃手法
被害発生の条件
- サイトにアクセスできる状態であれば、ログインの有無にかかわらず攻撃が可能
技術的な詳細
具体的には、並び替え条件の指定に使われるパラメータについて、使用できる列名を限定する許可リストによる照合が実装されていなかった点が原因です。
パラメータに対して一定の文字列整形は行われていましたが、SQLの構文に影響を与える文字はそのまま通過する状態でした。その結果、細工した値をパラメータに指定することで、データベースへの不正な問い合わせが実行される可能性がありました。
修正版では、使用できる列名をあらかじめ定義した許可リストと照合し、許可されていない値は安全な初期値に置き換える処理が追加されました。並び順の指定も「昇順」または「降順」の2択のみを受け付ける方式に変更されています。あわせて、ログインしていない状態からアクセス可能だったAJAX処理の経路が閉じられました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(4.9.2 以降)へ更新してください。
- アクセスログの確認
- 更新後、サーバーのアクセスログにて、
admin-ajax.phpへの不審なリクエストが過去に存在しないかご確認ください。 - 確認の際は
orderbyというキーワードを検索の手がかりとして利用できます。 - 不審なアクセスが確認された場合は、WordPressの専門家への相談を推奨します。
- 更新後、サーバーのアクセスログにて、
影響を受けるバージョン
WP Maps 4.9.1 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-2580 
(公開日 2026年3月22日 更新日 2026年3月23日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-2580 悪用確率 0.07% (上位78%) 2026年3月24日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
WP Maps プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
