WordPressでファビコン(ブラウザのタブに表示される小さなアイコン)の設定・切り替え機能を提供するプラグイン「Favicon Rotator」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.2.11 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって悪意のあるプログラム(スクリプト)がサイト内に埋め込まれ、ページを閲覧したユーザーのブラウザ上で実行される可能性があります。
対策として、バージョン 1.2.12 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグインが外部から受け取ったデータに含まれる危険な内容を十分に取り除けていなかったこと、さらに、保存済みのデータを画面に表示する際の安全対策が正しく機能していなかったことに起因します。
その結果、攻撃者が細工したデータを送信することで、不正なプログラムがサイト内に保存され、閲覧時に実行される状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害のおそれがあります。
不正なプログラム実行による影響
- ページを開いただけで、攻撃者が仕込んだプログラムが動作する
- 管理者が閲覧した場合、ログイン情報が盗まれ、管理者アカウントを乗っ取られる
- 一般の訪問者に対しても、不正なサイトへの誘導や偽のコンテンツが表示される
被害発生の条件
- 攻撃者がサイトにアクセスできる状態であれば、ログインなしで攻撃が可能
- 不正なプログラムは一度サイト内に保存されると、その後ページを開くたびに実行される
ページを表示するだけで影響を受けるため、特別な操作を行っていなくても被害が発生する可能性があります。
技術的な詳細
本脆弱性には、2つの処理不備が関係しています。
1つ目は、データの保存時における不備です。プラグインでは、外部から受け取ったデータを保存する前に危険な内容を取り除く処理を行っていましたが、使用されていた処理方法がデータ保存の用途に適しておらず、悪意あるコードが取り除かれないまま保存される状態でした。対策版では、データの種類に応じた適切な除去処理に変更されています。
2つ目は、データを画面に表示する際の不備です。プラグインには、保存されたデータをページに表示する際、危険な文字を無害な形式に変換してから出力する安全対策が組み込まれていました。しかし、プログラムの不具合により、変換した結果が実際の出力に使われておらず、安全対策が機能していない状態でした。そのため、保存された不正なプログラムがそのままページに埋め込まれ、ブラウザがそれを実行してしまう状態となっていました。
対策版では、変換結果が正しく出力に反映されるよう修正されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.2.12 以降)へ更新してください。
- 被害確認
- 更新後に、WordPress管理画面の「外観」→「Favicon Rotator」設定ページを開き、見覚えのないアイコンが登録されていないか確認してください。
- ブラウザでサイトを表示し、右クリック→「ページのソースを表示」から、ファビコンの設定箇所(ページ上部の link タグ付近)に不審な記述が含まれていないか確認してください。
- セキュリティ対策の強化
- WAF(Web Application Firewall)の導入は、悪意あるコードを含むリクエストを遮断するのに有効です。
⇒ 不審な内容が確認された場合は、該当のファビコン設定を削除し、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Favicon Rotator 1.2.11 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-42649 
/ RESERVED(2026年5月8日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Favicon Rotator プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
