WordPressでGutenbergエディタ向けのブロックや表示制御機能を提供するプラグイン「Otter Blocks」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.1.4 までのすべてのバージョンです。
本脆弱性を悪用された場合、Stripe決済を利用した「購入者限定コンテンツ」の表示制御が回避され、購入していない第三者にもコンテンツが表示される可能性があります。
対策として、バージョン 3.1.5 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、未ログイン訪問者の購入状態をブラウザのクッキー(一時保存情報)に保持する処理において、そのクッキーの値が正規に発行されたものかを確認する仕組みが備わっていなかったことに起因します。
そのため、攻撃者が手元で内容を書き換えたクッキーをサイトに送信した場合でも、サーバ側はそのクッキーの中身をそのまま信用してしまう状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
購入者限定コンテンツの不正閲覧
- Stripeでの「買い切り型商品」の購入を条件として表示制御していたコンテンツが、購入していない第三者に閲覧される可能性
- 該当コンテンツの内容(限定記事、ダウンロード用リンクなど)が、公開状態と同等の閲覧性となるおそれ
被害発生の条件
以下の条件に該当する場合に、被害が発生する可能性があります。
- 対象サイトでOtter BlocksのStripe連携機能を使い、通常商品の購入有無をコンテンツの表示条件に設定している
- 攻撃者がサイトにアクセス可能な状態(ログインしていない第三者でも実行可能。管理者の操作は不要)
※ サブスクリプション(定期課金)の購入有無で表示制御している場合は、サーバ側でStripeへの再確認が行われる仕組みがあるため、本脆弱性による直接的な影響は限定的です。
技術的な詳細
Otter BlocksのStripe連携機能では、未ログイン訪問者が商品を購入したとき、購入済み商品のIDなどをクッキーに保存し、後で表示制御に使う設計になっていました。
しかし、このクッキーには発行元がサイト自身であることを示す署名(改ざん検知用の値)が付与されていなかったため、誰でも自分のブラウザ側でクッキーの内容を自由に書き換えられる状態でした。
さらに、購入有無をチェックする処理では、買い切り型商品の場合にクッキーから読み取った内容のみで購入済みと判定しており、Stripe側へ実際に購入があったかを問い合わせる処理は行われていませんでした。
その結果、攻撃成立に必要な「対象商品のID」も、購入手続き用の画面のソースから誰でも確認できる状態であったため、攻撃者は次のような流れで保護コンテンツを閲覧できる状況にありました(具体値は〈省略〉)。
- 対象サイトのページソースから保護対象の商品IDを取得する
- 購入済みを示す形式のクッキー値を作成し、自分のブラウザにセットする
- そのまま保護コンテンツのページにアクセスする
対策版(3.1.5)では、クッキー保存時にサイト固有の鍵を用いた署名を併せて発行し、読み出し時にこの署名を検証することで、改ざんされたクッキーを受け付けないように修正されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.1.5 以降)へ更新してください。
- 被害確認
- 本脆弱性は攻撃が成立してもサイト内のデータ自体は変更されないため、Webサーバのアクセスログを用いた確認が有効です。
o_stripe_dataという名前のクッキーを伴うリクエストのうち、購入手続き(チェックアウト)の画面を経由していないものが多数記録されていないかご確認ください。 - Stripe側の決済記録と、サイト側で「購入者限定コンテンツ」が閲覧された件数に大きな乖離がないかをご確認ください。
- 不審な傾向が見られた場合は、保護対象のコンテンツが想定外の相手に閲覧された可能性があるため、コンテンツの取り扱いを見直すことを推奨します。
- 本脆弱性は攻撃が成立してもサイト内のデータ自体は変更されないため、Webサーバのアクセスログを用いた確認が有効です。
⇒ 不審なアクセスや、購入者限定コンテンツの閲覧状況に違和感がある場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Otter Blocks 3.1.4 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-2892 
(公開日 2026年4月30日 更新日 2026年5月1日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-2892 悪用確率 0.08% (上位78%) 2026年5月22日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Otter Blocks プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
