TrustBrain

WordPressでリビジョン管理・コンテンツ承認ワークフロー機能を提供するプラグイン「PublishPress Revisions: Duplicate Posts, Submit, Approve and Schedule Content Changes」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.7.23 までのすべてのバージョンです。

本脆弱性を悪用された場合、ログインしていない第三者によって、データベース内の情報が外部に読み取られる可能性があります。

対策として、バージョン 3.7.24 以降への更新を推奨します。

脆弱性詳細

本脆弱性は、サイトのフロントエンド(一般ページ)でプレビュー表示を処理する際に、外部から送信されたURLのパラメータ値を数値として検証せずに、そのままデータベース検索処理に渡していたことに起因します。その結果、攻撃者が細工したパラメータを送信することで、本来意図しないデータベース操作が実行される可能性がある状況となっていました。

想定される被害

この脆弱性が悪用された場合、以下のような被害が想定されます。

データベース情報の読み取り

  • WordPressのデータベースに保存されている情報(投稿内容、ユーザー情報等)が外部から読み取られる可能性があります

被害発生の条件

  • 攻撃者がサイトにアクセスできる状態であれば、ログインしていない状態でも攻撃が可能です

技術的な詳細

本脆弱性は、プレビュー処理においてURLパラメータ(page__id)をデータベース検索関数に渡す際に、整数値への変換処理が実装されていなかった点が原因です。本来、外部から受け取った値は数値として明示的に変換したうえで処理する必要がありましたが、この変換が行われていない状態でした。そのため、URLパラメータに通常の数値以外の文字列を含めて送信することで、データベースへの問い合わせ内容を操作できる可能性がありました。対策版では、この変換処理が適切に実装されています。

脆弱性の種類

CWE-89 SQLインジェクション 

推奨対応事項

該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。

  1. プラグインの更新
    • 速やかに、プラグインを対策バージョン(3.7.24 以降)へ更新してください。
  2. 被害確認
    • サーバーのアクセスログを確認し、page__id パラメータを含む不審なURLへのアクセスがないか調べてください。
    • 通常の閲覧では page__id パラメータが使われることは少ないため、このパラメータに数値以外の文字列が含まれるリクエストが記録されている場合は、悪用が試みられた可能性があります。

⇒ 不審なアクセスが確認された場合は、WordPressの専門家などへの相談を推奨します。

影響を受けるバージョン

PublishPress Revisions 3.7.23 までのバージョン

脆弱性情報 (CVE-ID)

CVE-2026-32539
(公開日 2026年3月25日 更新日 2026年3月25日)

脆弱性の深刻度 (CVSS v3)

基本値: 7.5 (重要)   [Wordfence]

脆弱性脅威度(EPSS)

CVE-2026-32539 悪用確率 0.03% (上位91%) 2026年3月28日時点 

今後30日以内に悪用される確率 )

ソフトウェア脆弱性情報の著作権に関する注意事項

This record contains material that is subject to copyright.

Copyright 2012-2024 Defiant Inc.

License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.

Copyright 1999-2024 The MITRE Corporation

License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.

「WordPressセキュリティ保守」をご利用のお客様へ

「Support」、「Technical」、「Customer」、「Service」の文字 と 技術的なWordPress顧客サポート

WordPress運用保守

さらに詳しく

PublishPress Revisions プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。

WordPress プラグイン PublishPress Revisions 情報 (2026年3月29日 取得)

最新版 バージョン 3.7.24
対象 WordPress バージョン 5.5 またはそれ以降
検証済み最新バージョン : 6.9.4
有効インストール数 10,000+
関連 ページ プラグインページホームページ

CONTACT US

ご相談・お問い合わせ

月~金 10:00~17:00 受付

赤と青色で装飾された紙飛行機をイメージしたフォームへの誘導アイコン

問い合せフォムへ

さらに詳しく

2営業日以内に一次回答いたします