WordPressで予約管理機能を提供するプラグイン「LatePoint – Calendar Booking Plugin for Appointments and Events」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 5.4.1 までのすべてのバージョンです。
本脆弱性を悪用された場合、プラグインの担当者(Agent)アカウントを持つユーザーによって、サイトの管理者アカウントが乗っ取られる可能性があります。
対策として、バージョン 5.4.2 以降への更新を推奨します。
脆弱性詳細
LatePointには、プラグイン独自の顧客レコードを既存のWordPressユーザーアカウントに紐付ける機能があります。本脆弱性は、この紐付け処理において、紐付け先のWordPressユーザーの権限レベルを確認する処理が欠けていたことに起因します。
そのため、プラグインの担当者(Agent)アカウントを持つユーザーが、顧客レコードを管理者のWordPressアカウントに紐付けたうえで、パスワードを変更できる状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
管理者アカウントの乗っ取り
- サイトの管理者アカウントのパスワードが第三者に変更され、管理者としてログインされるおそれがある
- 乗っ取られた場合、サイト設定の変更、コンテンツの改ざん、他のユーザーアカウントの操作など、管理者権限で可能なすべての操作が行われる可能性がある
被害発生の条件
本脆弱性を悪用するには、LatePointの担当者(Agent)アカウントでのログインが必要です。
ただし、管理者側のリンクのクリックなどの操作は不要で、担当者アカウントを持つユーザーが単独で実行できます。
技術的な詳細
LatePointでは、プラグイン独自の顧客レコードとWordPressユーザーアカウントを紐付ける機能を提供しています。この機能を利用するには「顧客情報の編集」権限が必要ですが、担当者(Agent)ロールにはこの権限がデフォルトで付与されています。
脆弱性のあるバージョンでは、紐付け処理の中で「指定されたWordPressユーザーが存在するか」だけを確認しており、そのユーザーが管理者や編集者といった特権ロールであるかは確認していませんでした。そのため、管理者のアカウントにも制限なく紐付けることが可能でした。
顧客レコードにWordPressアカウントが紐付けられた状態で顧客のパスワード変更を行うと、紐付け先のWordPressアカウントのパスワードも連動して変更されます。
この仕組みを悪用することで、管理者アカウントのパスワードを任意の値に変更できる状態でした。
対策版(5.4.2)では、紐付け先のWordPressユーザーのロールを許可リスト(顧客用ロール・購読者ロールなど低権限のロールのみ)と照合し、管理者などの特権アカウントへの紐付けを拒否する処理が追加されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(5.4.2 以降)へ更新してください。
- 被害確認
- LatePointの管理画面で顧客一覧を開き、各顧客レコードのWordPressユーザーとの紐付け状況を確認してください。
管理者アカウントへの身に覚えのない紐付けがないかが確認のポイントです。 - 不審な紐付けが確認された場合は、紐付けの解除と、該当する管理者アカウントのパスワード変更を直ちに行ってください。
- LatePointの管理画面で顧客一覧を開き、各顧客レコードのWordPressユーザーとの紐付け状況を確認してください。
- 追加のセキュリティ対策
- LatePointの担当者(Agent)アカウントに不審なユーザーが登録されていないか確認してください。
- 担当者アカウントは信頼できる関係者に限定し、不要なアカウントは削除してください。
⇒不審な紐付けや管理者アカウントへの不正ログインが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
LatePoint – Calendar Booking Plugin for Appointments and Events 5.4.1 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-6741 
(公開日 2026年4月27日 更新日 2026年4月27日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.8 (重大) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
LatePoint プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
