WooCommerceの商品絞り込みフィルター機能を提供するプラグイン「WCAPF – WooCommerce Ajax Product Filter」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 4.2.3 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、サイトのデータベースに格納された情報が不正に読み取られる可能性があります。
対策として、バージョン 4.3.0 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、ショップページの商品絞り込み機能において、「投稿者(作者)」によるフィルタリングを行う処理が、URLパラメータとして受け取った値をデータベースへの問い合わせ(SQLクエリ)に安全な処理を経ずに直接組み込んでいたことに起因します。その結果、攻撃者が細工した値をURLパラメータに含めることで、本来の処理に加えて意図しないSQL命令を実行させることが可能な状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
データベース内の情報の不正読み取り
- ユーザーのメールアドレスやハッシュ化されたパスワード
- 注文情報・顧客情報など、データベースに保存された各種データ
被害発生の条件
- 攻撃者がサイトにアクセス可能な状態であれば攻撃が成立します
- 管理者やユーザーによる特定の操作は必要ありません
- ログインしていない状態でも悪用される可能性があります
技術的な詳細
本脆弱性は、投稿者(作者)によるフィルタリング処理において、URLから受け取ったパラメータの値がSQLクエリに安全に組み込まれていなかった点が原因です。
本来、外部から受け取った値をSQLに使用する際は、WordPress標準の安全な変換関数を用いて値をプレースホルダーにバインドする必要があります。しかし、修正前のコードではこの処理が行われておらず、値がそのままSQL文字列に結合されていました。
攻撃者はこの欠陥を利用し、URLパラメータに特殊な値を送り込むことで、データベースの応答に意図的な時間遅延を生じさせながら段階的に情報を読み取ることができる状態でした(時間遅延を利用したブラインドSQLインジェクション)。この手法は、攻撃の痕跡がサイト上の表示に現れにくい特徴があります。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(4.3.0 以降)へ更新してください。
- 被害確認
- 本脆弱性による攻撃はサイトの表示に変化が生じないため、Webサーバーのアクセスログを確認することが有効です。
post-authorを含むURLへのアクセスのうち、通常のフィルター操作では使われない不自然に長い値や記号を含むリクエストが記録されていないか確認してください。- 不審なアクセスが確認された場合、データベース内の情報が読み取られた可能性があります。ユーザーへの通知など、必要な対応についてもあわせてご検討ください。
- 追加のセキュリティ対策
- WAF(Webアプリケーションファイアウォール)を導入している場合、SQLインジェクションの不審なリクエストを遮断・検知できることがあります。プラグインの更新とあわせてご検討ください。
⇒不審なアクセスが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
WCAPF – WooCommerce Ajax Product Filter 4.2.3 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-3396 
(公開日 2026年4月8日 更新日 2026年4月8日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-3396 悪用確率 0.11% (上位71%) 2026年4月14日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
WCAPF – WooCommerce Ajax Product Filter プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
