ファイルのダウンロード販売・管理機能を提供するプラグイン「Download Monitor」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 5.1.7 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者によって、他のユーザーの未完了注文が不正に決済完了状態にされ、有料のダウンロードコンテンツを不正取得される可能性があります。
対策として、バージョン 5.1.8 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、PayPal決済の完了処理において、受け取った注文情報の正当性を確認する仕組みが実装されていなかったことに起因します。
リクエストで指定された注文IDに対して「その注文のものか」を検証しないまま処理を進める状態にあったため、攻撃者が用意した注文IDとPayPalトークンの組み合わせを送信することで、他人の注文を「支払い済み」として完了させることが可能な状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
有料ダウンロードコンテンツの不正取得
- 攻撃者が本来アクセスできないはずの有料ファイルをダウンロードできる状態になる
- 攻撃者が安価な商品の購入代金のみで、高額コンテンツを不正取得するおそれがある
- 正規ユーザーの注文が攻撃者によって完了状態に書き換えられる
被害発生の条件
PayPal決済機能を有効にしてDownload Monitorを運用しているサイトであれば、攻撃者はWordPressへのログインや特別な権限を必要とせず、外部から攻撃ができます。
技術的な詳細
本脆弱性は、PayPal決済完了時の処理において、以下の2つの検証が実装されていなかった点が原因です。
- 受け取った注文ハッシュ(注文の正当性を確認するための照合コード)が、指定した注文IDのものと一致するかの確認
- 受け取ったPayPalトークン(PayPal上の決済識別子)が、その注文に紐づくものかの確認
これらの検証が欠落していたため、攻撃者は次のような手順で攻撃を行うことができました。
- 攻撃者がサイト上の安価な商品を正規に購入し、PayPalトークンを取得する
- 別途、サイト上に存在する高額商品の未完了注文IDを特定する
- 手順1で取得したトークンを手順2の注文IDと組み合わせてリクエストを送信する
- 検証が行われないまま、高額注文が「支払い済み」として完了する
対策版では、注文ハッシュおよびトークンの照合処理が追加され、それぞれタイミングセーフな比較(※)で検証されるようになっています。
※タイミングセーフな比較:比較処理にかかる時間を均一にすることで、処理時間の差から内部情報を推測する攻撃を防ぐ手法。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(5.1.8 以降)へ更新してください。
- 被害確認
- Download Monitor の管理画面(「Orders」メニュー等)にて、身に覚えのない「完了」ステータスの注文が存在しないか確認してください。特に、支払いが確認できていないにもかかわらず完了状態になっている注文がないかを重点的に確認します。
- ダウンロード履歴に不審なアクセスがないかあわせて確認してください。
⇒不審な注文やダウンロード履歴が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Download Monitor 5.1.7 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-3124 
(公開日 2026年3月30日 更新日 2026年3月30日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-3124 悪用確率 0.03% (上位92%) 2026年3月31日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Download Monitor プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
