WordPressのパフォーマンス最適化プラグイン「Perfmatters」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.5.9.1 までのすべてのバージョンです。
本脆弱性を悪用された場合、サイトに登録されている低権限ユーザー(購読者レベル以上)によって、サーバー上の任意のファイルが削除される可能性があります。最悪の場合、WordPressの設定ファイルが削除されることで、サイト全体が乗っ取られるおそれがあります。
対策として、バージョン 2.6.0 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、コードスニペット(プログラムの断片)を削除する処理において、操作者の権限確認やファイル名の安全性確認が実装されていなかったことに起因します。その結果、購読者レベルの低権限ユーザーが細工したリクエストを送信することで、本来削除できないはずのサーバー上の任意のファイルを削除できる状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
- プラグインが管理するコードスニペットファイルが不正に削除される
- WordPressの動作に必要なファイルが削除され、サイトが正常に表示されなくなる
- WordPressの設定情報が記録されている
wp-config.phpが削除された場合、WordPressが初期セットアップ状態に戻り、攻撃者がデータベースへの接続情報を設定し直すことで、サイト全体を乗っ取られるおそれがあります
被害発生の条件
以下の条件が成立した場合に、被害が発生する可能性があります。
- 攻撃者がWordPressにアカウントを持っており、購読者(subscriber)以上の権限でログインできる状態である
- 攻撃者が細工したリクエストをサーバーへ直接送信する
管理者の操作は不要であり、攻撃者が単独でこの操作を完結できる点に注意が必要です。
技術的な詳細
本脆弱性は、コードスニペットを削除する action_handler() という処理において、削除対象のファイル名を指定するパラメータが一切検証されずにそのまま使用されていた点が原因です。
本来であれば、操作者が管理者権限を持つかどうかの確認、リクエストの正当性を確かめる安全確認コード(nonce)の検証、ファイル名に ../(上位ディレクトリへの移動を示す記号)などの危険な文字列が含まれていないかの確認、がそれぞれ必要でしたが、これらがすべて欠落していました。
その結果、攻撃者はファイル名の指定にディレクトリ移動の記号を組み込むことで、スニペット保存用ディレクトリの外に存在するファイルを削除対象に指定することが可能な状態となっていました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.6.0 以降)へ更新してください。
- 被害の確認
- FTPクライアントまたはサーバーのファイルマネージャーで、WordPressインストールディレクトリの直下を開き、
wp-config.phpが存在するか確認してください。このファイルが存在しない場合は、削除被害を受けた可能性があります。 - サーバーのアクセスログ内に
deleteまたはaction2=deleteを含むリクエストが記録されていないか確認してください。該当するリクエストが見つかった場合は、URLパラメータの値に../が含まれていないか確認してください。これが含まれている場合、ディレクトリ外のファイルへの削除が試みられた可能性があります。 - WordPressの管理画面「ユーザー」メニューで、身に覚えのない管理者アカウントが追加されていないか確認してください。
wp-config.phpが削除された場合、攻撃者がサイトの再セットアップを行い、管理者アカウントを新規作成するおそれがあります。
- FTPクライアントまたはサーバーのファイルマネージャーで、WordPressインストールディレクトリの直下を開き、
- 追加のセキュリティ対策
- WAF(Web Application Firewall)の導入は、
../を含む不正なリクエストを遮断するのに有効です。プラグインの更新が完了するまでの暫定対策としても活用できます。
- WAF(Web Application Firewall)の導入は、
⇒ wp-config.php の消失や不審なアカウントが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Perfmatters 2.5.9.1 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-4350 
/ RESERVED(2026年4月3日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (高) [Wordfence]
脆弱性脅威度(EPSS)
-
参考
Perfmatters <= 2.5.9.1 – Authenticated (Subscriber+) Arbitrary File Deletion via ‘delete’ Parameter
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Perfmatters プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
