会員管理・ユーザー登録・eコマース機能を提供するWordPressプラグイン「ProfilePress」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 4.16.11 までのすべてのバージョンです。
本脆弱性を悪用された場合、サイトにログイン済みの一般ユーザーによって、本来有料のメンバーシッププランが支払いなしで取得される可能性があります。
対策として、バージョン 4.16.12 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、有料プランへの切り替え(チェックアウト)処理において、リクエストに含まれるサブスクリプションIDが本当にそのユーザー自身のものであるかを確認する処理が実装されていなかったことに起因します。その結果、他のユーザーのIDを指定したリクエストを送ることで、支払い金額がゼロとなる注文が成立していました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
有料メンバーシッププランの不正取得
- サイトにログイン済みの一般ユーザーが、本来有料のメンバーシッププランを支払いなしで取得するおそれがあります。
- サイト運営者にとっては、有料プランの収益損失につながる可能性があります。
被害発生の条件
- WordPressにログイン済みのアカウントを持っている(購読者レベル以上の低権限で足りる)
技術的な詳細
チェックアウト処理の内部では、プラン変更時に「変更元サブスクリプションID」を使って日割り計算(プロレーション)が行われます。修正前は、この計算が実行される前にリクエストを送ったユーザーが該当IDの所有者であるかの確認が行われていなかったため、他ユーザーのIDを含む細工されたリクエストによって計算が誤って実行され、有料プランの支払い金額がゼロとなっていました。
修正版では、計算・注文作成の前に所有者確認が追加され、一致しない場合は処理が中断されるようになっています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(4.16.12 以降)へ更新してください。
- 被害確認
- ProfilePress管理画面の「Orders(注文一覧)」より、有料プランであるにもかかわらず支払い金額が「$0」または「無料」となっている注文が存在しないか確認してください。
- 不審な注文が確認された場合は、該当ユーザーのサブスクリプション状況を確認し、必要に応じてサブスクリプションの無効化またはアカウントの対応を行ってください。
⇒ 不審な注文やアカウントが複数確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
ProfilePress 4.16.11 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-3445 
(公開日 2026年4月4日 更新日 2026年4月8日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.1 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-3445 悪用確率 0.01% (上位99%) 2026年5月22日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
ProfilePress プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
