Instagramのフィードウィジェットを提供するプラグイン「Widgets for Social Photo Feed」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.7.9 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者によって不正なスクリプトがサイトのデータベースに書き込まれ、ウィジェットを表示するページを閲覧したすべての訪問者のブラウザ上でスクリプトが実行される可能性があります。
対策として、バージョン 1.8.0 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、次の2つの問題が組み合わさることで成立します。
まず、外部からのデータ更新通知(Webhook)を受け付ける処理において、リクエストの正当性を確認する仕組みに不備がありました。この不備により、プラグインの接続設定が完了していない状態では、攻撃者がこの確認を素通りさせることができました。
次に、そのリクエストに含まれるフィードデータを処理する際、データの「項目名」部分に対する無害化処理(不正なコードを取り除く処理)が実装されていませんでした。攻撃者はこの項目名の部分に悪意あるスクリプトを仕込むことで、検査を素通りさせてデータベースに書き込ませることができました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
訪問者への攻撃(蓄積型クロスサイトスクリプティング)
- 攻撃者が送り込んだ不正なスクリプトがデータベースに保存され、ウィジェットを設置したページを閲覧したすべての訪問者のブラウザ上でスクリプトが実行される
- 管理者も例外ではなく、ログインの有無にかかわらず被害を受ける
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- プラグインのInstagram接続設定が完了していない状態
- 攻撃者がサイトのWebhookエンドポイントにアクセス
上記の条件がそろった場合、ウィジェットを表示するページを開いた訪問者が被害を受ける可能性があります。
技術的な詳細
本脆弱性は、2段階の処理上の不備が組み合わさることで成立します。
1つ目は、データ更新通知の受け付け処理における署名検証の不備です。本来、正規のリクエストかどうかは、サーバーのみが保持する固有の値(ID)を使った署名の一致で判断されます。しかしプラグインの接続設定が未完了の場合、この固有の値がデータベースに保存されておらず、代わりにリクエスト自体に含まれる値が署名の検証に使われる状態になっていました。これにより、攻撃者は自分で用意した値で署名を作成し、検証を通過させることができました。
2つ目は、受け付けたフィードデータの無害化処理の不備です。データの「値」部分については無害化処理が行われていましたが、「項目名(キー)」部分には一切の処理がなく、悪意あるスクリプトをそのままデータベースに保存できる状態でした。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.8.0 以降)へ更新してください。
- 被害確認
- プラグインを更新後、Instagramアカウントとの接続を一度解除して再接続し、フィードデータを正規のものに更新してください。これにより、万が一データベースに不正なデータが書き込まれていた場合も、正規のフィードデータで上書きされます。
- ウィジェットを設置しているページを実際にブラウザで確認し、身に覚えのないポップアップや不審な動作が発生していないかを確認してください。
⇒ 不審な動作が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Widgets for Social Photo Feed 1.7.9 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-5425 
(公開日 2026年4月4日 更新日 2026年4月6日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-5425 悪用確率 0.06% (上位81%) 2026年4月7日時点
参考
Widgets for Social Photo Feed <= 1.7.9 – Unauthenticated Stored Cross-Site Scripting via feed_data
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Widgets for Social Photo Feed プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
