WooCommerceの商品レビュー管理を行うプラグイン「ReviewX – WooCommerce Product Reviews with Multi-Criteria, Reminder Emails, Google Reviews, Schema & More」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.2.12 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者によって、サーバー上で意図しない処理が実行される可能性があります。
対策として、バージョン 2.3.0 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、レビューデータを一括処理するAPIの機能において、外部から送信されたデータの内容を十分に確認しないまま処理に使用していたことに起因します。
その結果、攻撃者が細工したデータを送信することで、サーバー上の特定のプログラム処理を意図せず呼び出すことが可能な状態にありました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
サーバー上の処理の不正な呼び出し
- サイトの設定情報や内部情報が外部から取得される
- サーバー上の特定のプログラム処理が意図せず実行される
実行できる処理の種類は限られますが、サーバーの構成によって影響範囲は異なります。
被害発生の条件
- 攻撃にログインは不要です
- 特別な権限を持たない第三者でも攻撃が可能です
技術的な詳細
本脆弱性は、レビューデータを一括処理する機能において、受け取ったリクエストデータを検証せずにそのままプログラムの実行命令として使用していた点が原因です。
PHPには、変数の内容をそのままプログラムの命令として解釈・実行できる仕組みがありますが、この仕組みに対して外部からのデータが直接渡される実装になっていました。
そのため、攻撃者が特定の形式のデータを送信することで、本来意図していないサーバー上のプログラム処理を実行させることが可能でした。
またこの機能へのアクセス入り口は、ログイン済みユーザーのみが利用できるよう設計されていましたが、ログイン状態を確認する処理に不備があり、未ログインのまま到達できる状態にありました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.3.0 以降)へ更新してください。
- 被害確認
- Webサーバーのアクセスログに、以下のエンドポイントへの不審なPOSTリクエストが記録されていないか確認してください。
/wp-json/reviewx/api/v1/reviews/bulk/ten/response - 身に覚えのない送信元からのアクセスが多数確認された場合は、該当のアクセス元の遮断をご検討ください。
- Webサーバーのアクセスログに、以下のエンドポイントへの不審なPOSTリクエストが記録されていないか確認してください。
⇒不審なアクセスが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
ReviewX – WooCommerce Product Reviews with Multi-Criteria, Reminder Emails, Google Reviews, Schema & More 2.2.12 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-10679 
(公開日 2026年3月23日 更新日 2026年3月23日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.3 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-10679 悪用確率 0.14% (上位67%) 2026年3月24日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
ReviewX プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
