WordPressのキャッシュ・パフォーマンス最適化プラグイン「W3 Total Cache」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.9.3 までのすべてのバージョンです。
本脆弱性を悪用された場合、未認証の第三者によってプラグイン内部で使用しているセキュリティトークンが外部に漏洩する可能性があります。フラグメントキャッシュ機能を有効にしているサイトでは、さらに漏洩したトークンを悪用することで、サーバー上で任意のプログラムが実行される可能性があります。
対策として、バージョン 2.9.4 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグインが持つ出力処理の仕組みにおいて、外部から意図的に加工されたアクセス(リクエスト)を受信した際に、セキュリティのための出力処理全体がスキップされる状態にあったことに起因します。
その結果、ページのHTMLレスポンス内に、本来は除去されるべき内部のセキュリティトークンが残存し、外部から取得できる状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
セキュリティトークンの漏洩
- プラグインが内部処理の正当性確認に使用しているトークン値が、ページのHTMLソースを通じて外部に露出
サーバーへの不正操作(任意コード実行)につながる恐れ
- 漏洩したトークンを悪用することで、攻撃者がサーバー上で任意のプログラムを実行できる状態となる
被害発生の条件
- W3 Total Cache のフラグメントキャッシュ機能(mfunc / mclude タグ)を有効化
管理者やユーザーの操作は一切不要で、外部から直接攻撃が成立します。
※ フラグメントキャッシュ機能(mfunc / mclude)を使用していないサイトでは、セキュリティトークン自体が存在しないため、サーバーへの不正操作には至りません。ただし、プラグインの更新は引き続き推奨します。
技術的な詳細
本脆弱性は、プラグインがリクエストの特定のヘッダー情報を判定材料にして、ページ出力処理をスキップする設計になっていた点が原因です。このヘッダー情報は外部から自由に偽装できる値であるため、攻撃者が意図的にスキップ条件を作り出すことが可能でした。
スキップが発生した場合、HTML内の動的フラグメントタグおよび内部セキュリティトークンが除去されないまま、ページのソースとして送信される状態となっていました。
本来このセキュリティトークンは、フラグメントキャッシュ機能における動的コンテンツの実行が正規の処理によるものかを検証するための秘密の値です。このトークンが外部に漏洩した場合、攻撃者がトークンを悪用して正規処理に見せかけた不正なデータを送り込み、サーバー上でのプログラム実行につなげる可能性があります。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.9.4 以降)へ更新してください。
- 被害確認
- WordPress管理画面より「W3 Total Cache」の設定を確認し、mfunc / mclude タグをテンプレートやプラグインで使用しているかどうかを確認してください。
- 使用していない場合:プラグインの更新のみ実施してください。
- 使用している場合:サーバーのアクセスログを確認し、User-Agent(ユーザーエージェント:アクセス元の識別情報)に「W3 Total Cache」を含む外部からの不審なアクセスが存在しないかを確認してください。
- WordPress管理画面より「W3 Total Cache」の設定を確認し、mfunc / mclude タグをテンプレートやプラグインで使用しているかどうかを確認してください。
- 追加のセキュリティ対策
- フラグメントキャッシュ機能(mfunc / mclude)を現在利用していない場合は、設定画面から明示的に無効化しておくことで、本機能に起因するリスクを低減できます。
⇒ 不審なアクセスが確認された場合や、フラグメントキャッシュ機能の利用有無が判断できない場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
W3 Total Cache 2.9.3 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-5032 
(公開日 2026年4月2日 更新日 2026年4月2日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-5032 悪用確率 0.05% (上位84%) 2026年4月6日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
W3 Total Cache プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
