WooCommerceの注文時に配達日を指定できるプラグイン「Order Delivery Date for WooCommerce(Lite版)」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 4.5.1 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、データベースに保存された情報を不正に読み取られる可能性があります。
対策として、バージョン 4.5.2 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、管理画面で注文の配達情報をCSVやHTMLとしてエクスポートする機能に起因します。
この機能は本来、ショップ管理者のみが利用できるべきものですが、アクセス元の権限確認やリクエストの正当性検証が実装されていなかったため、第三者からもアクセス可能な状態でした。
さらに、検索条件として受け取った値がデータベースへの問い合わせ文にそのまま組み込まれていたため、攻撃者が細工した値を送信することで、本来取得できない情報まで読み取ることが可能な状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
注文情報・個人情報の漏洩
- プラグインのエクスポート機能が扱う注文データ(注文ID、購入商品名、請求先・配送先の住所氏名、配達指定日時、注文日など)が第三者に取得される可能性
- SQLインジェクションにより、注文データだけでなく、データベースに保存されている他のテーブルの情報が読み取られる可能性
被害発生の条件
攻撃者がサイトに対して細工したリクエストを送信するだけで攻撃が可能です。
認証や特別な操作は不要なため、攻撃の難易度は低い状況でした。
技術的な詳細
本プラグインには、管理画面のカレンダー表示から配達情報をCSVダウンロードまたは印刷できるエクスポート機能があります。この機能は管理画面の初期化処理(admin_init)に登録されていましたが、以下の2つの問題がありました。
(1) 権限確認の欠如
エクスポート処理の実行前に、リクエスト元のユーザーがショップ管理者であるかを確認する処理が実装されていませんでした。WordPressの管理画面の初期化処理は、管理画面のURL宛であれば未認証の状態でも実行されるため、第三者がURLを直接指定してアクセスするだけでエクスポート処理が動作する状態でした。また、リクエストの正当性を確認するトークン(nonce)の検証も行われていませんでした。
(2) SQL文のパラメータ処理の不備
エクスポート対象を絞り込む検索条件(注文ステータス、開始日、終了日など)は、URLのパラメータから取得されていました。これらの値に対して、HTMLタグの除去などの基本的な文字処理は行われていたものの、SQL文の構文として解釈されることを防ぐための処理(プレースホルダの使用)が行われていませんでした。
そのため、攻撃者がパラメータに不正なSQL文の断片を含めて送信することで、本来の検索範囲を超えた情報をデータベースから読み取ることが可能でした。
対策版(4.5.2)では、管理者権限の確認、nonceによるリクエスト検証、および全パラメータのプレースホルダ化が実装されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(4.5.2 以降)へ更新してください。
- 被害確認
- Webサーバーのアクセスログを確認し、URLに
download=orddd_data.csvまたはdownload=orddd_data.printを含むリクエストが記録されていないか確認してください。 - 上記のうち、管理者の通常操作とは異なるIPアドレスからのアクセスや、
orderStatus・start・endパラメータに不審な文字列が含まれている場合は、情報漏洩の可能性があります。
- Webサーバーのアクセスログを確認し、URLに
- 追加のセキュリティ対策
- WAF(Web Application Firewall)の導入は、SQLインジェクション攻撃のリクエストを遮断するのに有効です。
⇒ 不審なアクセスが確認された場合は、WordPressの専門家やセキュリティサービスへの相談を推奨します。
影響を受けるバージョン
Order Delivery Date for WooCommerce(Lite版) 4.5.1 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-42386 
/ RESERVED(2026年5月23日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Order Delivery Date for WooCommerce プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
