WordPressで会員制サイトの構築・運営を行うプラグイン「Paid Memberships Pro」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.6.5 までのすべてのバージョンです。
本脆弱性を悪用された場合、サイトに登録済みの低権限ユーザー(購読者レベル)によって、Stripe連携に必要なWebhook(Stripeからサイトへ決済結果などを自動通知する仕組み)の設定が削除・改変され、決済機能が停止する可能性があります。
対策として、バージョン 3.6.6 以降への更新を推奨します。
【ご注意】WordPress.org公式ディレクトリでの公開停止について
本プラグインは2024年10月17日に作者の申請によりWordPress.org公式ディレクトリから永久的に公開停止されています。WordPress.org上の最終バージョン(3.2.2)にも本脆弱性が含まれますが、自動更新では対策版を受け取ることができません。ご利用中の方は下記「推奨対応事項」をご確認ください。
脆弱性詳細
本脆弱性は、Stripe決済のWebhook設定を管理する処理において、操作者の権限を確認する仕組みが実装されていなかったことに起因します。その結果、サイトに登録済みの低権限ユーザーが、Webhookの削除・作成・再構築の操作を実行できる状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
決済機能への影響
Stripe連携のWebhookが削除された場合、Stripeからサイトへの通知が届かなくなり、以下の処理が正常に行われなくなります。
- 決済完了の反映が停止し、支払い済みにもかかわらず会員ステータスが更新されない
- サブスクリプション(定期課金)の更新がサイトに反映されない
- 会員がStripe側で解約しても、サイト上の会員ステータスが解約済みに切り替わらない
- 支払い失敗時の通知がサイトに届かず、対応が遅れる
これらの結果、Stripe側の課金状態とサイト上の会員ステータスに不整合が蓄積し、サイト運営に支障をきたす可能性があります。
被害発生の条件
攻撃者がサイトにユーザー登録済みであり、ログインできる状態であれば、管理者の操作に関わらず攻撃が可能です。
技術的な詳細
本プラグインでは、Stripe Webhookの作成・削除・再構築を、管理画面から内部的に送信されるリクエストで処理しています。これらの処理はログイン済みユーザーのみが呼び出せる仕組みでしたが、管理者であるかどうかの権限確認が行われていなかったため、購読者レベルのユーザーでも直接リクエストを送信することでWebhook設定を操作できる状態でした。
対策版では、操作者が管理者権限またはプラグイン固有の決済設定権限を持つことの確認が追加されました。あわせて、リクエストの正当性を確認する仕組み(nonce検証)も追加されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.6.6 以降)へ更新してください。
- 被害確認
- WordPress管理画面のPaid Memberships Pro設定内にある「Stripe Webhook」セクションを開き、Webhookのステータスが「有効(enabled)」であることを確認してください。Webhookが無効または未設定の場合は、「Create Webhook」ボタンで再作成してください。
- Stripeダッシュボード(https://dashboard.stripe.com/webhooks)にアクセスし、サイトのWebhook URLが登録されていること、ステータスが有効であることを確認してください。
- 直近の決済履歴について、Stripe側で成功している支払いがサイト上の会員ステータスや注文履歴に正しく反映されているかを照合してください。不整合がある場合は、該当する会員の注文ステータスを手動で修正してください。
- 不要なユーザーアカウントの確認
- 本脆弱性はログイン可能なユーザーであれば悪用できるため、WordPress管理画面の「ユーザー」メニューから、不要な登録ユーザーや身に覚えのないアカウントが存在しないか確認し、不要なものは削除してください。
本プラグインはWordPress.org公式ディレクトリから永久的に公開停止されており、WordPress管理画面の「プラグイン更新」からは対策版を受け取ることができません。WordPress.org上の最終バージョン(3.2.2)にも本脆弱性が含まれます。対策版の入手については、プラグイン開発元の公式サイト(paidmembershipspro.com)またはGitHubリポジトリをご確認ください。WordPress.org公式ディレクトリからの公開が停止されているため、今後も自動更新による脆弱性対応を受けることができません。更新が困難な場合はプラグインの無効化・削除と代替手段への移行もあわせてご検討ください。
影響を受けるバージョン
Paid Memberships Pro 3.6.5 までのバージョン
(WordPress.org公式ディレクトリの最終公開バージョン 3.2.2 を含む)
脆弱性情報 (CVE-ID)
CVE-2026-4100 
/ RESERVED(2026年5月2日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.1 (重要) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Paid Memberships Pro プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
WordPress プラグイン Paid Memberships Pro 情報
| セキュリティ告知 | このプラグインの公開は 2024-10-17 に停止されており、現在は、ダウンロードできません。 理由: author-request。 This plugin has been closed as of October 17, 2024 and is not available for download. This closure is permanent. Reason: Author Request. |
|---|
