WordPressでサイトのアクセス解析を行うプラグイン「WP Statistics」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 14.16.4 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者がサイトに仕込んだ不正なデータを通じて、WordPress管理者が統計画面を閲覧した際に、管理者のブラウザ上で不正なスクリプトが実行される可能性があります。
対策として、バージョン 14.16.5 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、サイトへのアクセス元を示す情報(リファラ情報)を取り扱う処理において、保存時・表示時の2段階で必要な安全処理が欠けていたことに起因します。
その結果、攻撃者が細工したURLでサイトにアクセスすることで不正なデータをサイト内部に保存させ、後から管理者が統計画面を開いた際に、そのデータを介して管理者のブラウザ上で不正なスクリプトが実行される状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
管理者への攻撃(蓄積型XSS)
- 攻撃者が送り込んだスクリプトがサイトの統計データ内に保存され、管理者が統計画面(リファラの概要、ソーシャルメディア分析など)を閲覧した際に、管理者のブラウザ上で実行される
- これにより、管理者のセッション情報(Cookie)が盗まれ、管理者アカウントが乗っ取られる可能性がある
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 攻撃者が、細工したパラメータ付きのURLでサイトへアクセスし、不正なデータをサイトの統計情報に記録させる
- 管理者が、WP Statisticsの統計画面(リファラの概要、ソーシャルメディア分析など)を閲覧する
攻撃者による事前アクセスは認証なし(誰でも可能)で、特別な操作も不要です。管理者側も、通常の統計確認作業を行っただけで影響を受ける可能性があります。
技術的な詳細
本脆弱性は、アクセス元情報を扱う処理の「保存時」と「表示時」の2か所で、安全のために必要な処理が欠けていたことが原因です。
保存時(サーバー側)の問題
URLに付与された流入元パラメータの値を、プラグインが内部データとして取り込む処理において、値のサニタイズ(安全な形式への変換)が実施されていませんでした。そのため、スクリプトを含む文字列がそのままサイト内部のデータとして保存される状態にありました。
表示時(管理画面側)の問題
管理画面で統計グラフを描画する処理では、保存された値をグラフの凡例やツールチップ(マウスを重ねた際に表示される説明)に組み込んで画面に表示していました。このとき、HTMLとして解釈される特殊な文字を無害化するエスケープ処理が行われていませんでした。そのため、ブラウザが値の内容を実行可能なプログラムとして解釈してしまう状態となっていました。
対策版では、保存時のサニタイズ処理と、表示時のHTMLエスケープ処理の両方が追加されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(14.16.5 以降)へ更新してください。
- 被害確認
- アップデート適用後、WordPress管理画面の「Statistics」メニューから、
「リファラの概要(Referrals)」および「ソーシャルメディア分析(Social Media)」の画面を確認してください。 - 流入元として表示されている一覧の中に、URLらしからぬ記号(山括弧、引用符、scriptという文字列など)を含む不自然な項目が無いか確認してください。
- 該当する項目が見つかった場合は、WP Statisticsの該当データ削除機能、またはWordPressの専門家への相談による削除をご検討ください。
- アップデート前に上記画面を閲覧するのは避けてください。更新前に閲覧すると、その時点でスクリプトが実行されるリスクがあります。
- アップデート適用後、WordPress管理画面の「Statistics」メニューから、
- 今後の予防策
- 管理画面で作業する際は、他のタブやブラウザで不審なサイトを同時に開かないよう注意してください。
- WAF(Web Application Firewall)の導入は、XSSを狙うリクエストの遮断に有効です。
⇒不審なログイン履歴や、意図しない管理者ユーザーの追加などが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
WP Statistics 14.16.4 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-5231 
(公開日 2026年4月17日 更新日 2026年4月17日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-5231 悪用確率 0.03% (上位91%) 2026年5月13日時点
参考
WP Statistics <= 14.16.4 – Unauthenticated Stored Cross-Site Scripting via ‘utm_source’ Parameter
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
WP Statistics プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
