WordPressでアフィリエイトプログラムを提供するプラグイン「Affiliate Program Suite — SliceWP Affiliates」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.2.6 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、サイト内に悪意のあるプログラム(スクリプト)が埋め込まれる可能性があります。埋め込まれたプログラムは、管理者やアフィリエイトユーザーがアクセス履歴画面を閲覧した際にブラウザ上で実行されます。
対策として、バージョン 1.2.7 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、アフィリエイトのアクセス履歴(Visits)を一覧表示する処理において、訪問時のURL情報を画面に出力する際の安全性確認に不備があったことに起因します。その結果、攻撃者が細工したURLでサイトにアクセスするだけで、悪意のあるプログラムがサイト内に保存される状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害のおそれがあります。
管理者やアフィリエイトユーザーへの影響
- 管理者やアフィリエイトユーザーのログイン情報が外部に送信され、アカウントへの不正アクセスにつながる
- 管理画面上での意図しない操作や、偽の情報の表示が行われる
これらの被害は、攻撃者が細工したURLでサイトにアクセスすることで不正なプログラムがサイト内に保存され、管理者やアフィリエイトユーザーがアクセス履歴画面(Visits)を閲覧した際にブラウザ上で実行されることで発生します。
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 攻撃者がサイトにアクセスできる状態であること(ログインは不要)
- 不正データが記録された後、管理者またはアフィリエイトユーザーがアクセス履歴画面を表示すること
技術的な詳細
本プラグインでは、アフィリエイトリンク経由のアクセスが発生すると、訪問先URL(Landing URL)と参照元URL(Referrer URL)がデータベースに記録されます。
これらのURL情報を管理画面やアフィリエイトアカウント画面の一覧に表示する際、リンク先のアドレスにはURL用の無害化処理が適用されていましたが、画面上に表示されるリンクの文字列には、特殊な文字を無害な形に変換する処理(エスケープ処理)が適用されていませんでした。
そのため、URLに悪意のあるプログラムが含まれていた場合、ブラウザがそれを単なる文字ではなく実行可能なコードとして解釈してしまう状態でした。一度記録されたデータは削除されるまで、閲覧のたびにプログラムが実行されます。
対策版では、表示処理に無害化処理が追加され、URL内の特殊文字が安全な文字列として出力されるようになっています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.2.7 以降)へ更新してください。
- 被害確認
- プラグインを更新した後、管理画面のアクセス履歴(SliceWP → Visits)を確認してください。
Landing URLやReferrer URLの欄に、通常のURLではない不審な文字列(<script タグを含む文字列など)が記録されていないか確認してください。 - 不審なデータが確認された場合は、該当レコードの削除を行ってください。
※確認は必ずプラグイン更新後に行ってください。更新前に閲覧すると、不正なプログラムが実行されるリスクがあります。
- プラグインを更新した後、管理画面のアクセス履歴(SliceWP → Visits)を確認してください。
- 追加のセキュリティ対策
- 万が一、更新前にアクセス履歴画面を閲覧していた場合は、管理者アカウントのパスワード変更を推奨します。
- 不審なユーザーアカウントの追加や設定変更がないかも併せて確認してください。
⇒不審な操作履歴やアカウントの改ざんが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Affiliate Program Suite — SliceWP Affiliates 1.2.6 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-42653 
/ RESERVED(2026年5月13日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
-
参考
Affiliate Program Suite — SliceWP Affiliates <= 1.2.6 – Unauthenticated Stored Cross-Site Scripting
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
SliceWP プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
