WordPressでメールマーケティング機能やWooCommerceとの連携を提供するプラグイン「Creative Mail – Easier WordPress & WooCommerce Email Marketing」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.6.9 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、データベースに保存されている情報(メールアドレスや暗号化されたパスワードなど)を読み取られる可能性があります。
本脆弱性に対する修正バージョンは現時点で提供されていないため、プラグインの無効化またはアンインストールを推奨します。
脆弱性詳細
本脆弱性は、買い物カゴの復元機能がURLから受け取った値をデータベースへの問い合わせに使用する際、値を安全に処理する仕組みが欠落していたことに起因します。
その結果、攻撃者が細工したURLでサイトにアクセスすることで、データベースから意図しない情報を読み取らせることが可能な状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
データベース情報の漏洩
- データベースに保存されているメールアドレス、暗号化されたパスワード、サイト設定情報などの読み取り
- 取得された情報を悪用した不正ログインなどの二次被害
被害発生の条件
以下の条件がそろった場合に、被害が発生する可能性があります。
- WooCommerceプラグインが有効化されていること
- 攻撃者がサイトにアクセス可能であること(ログインや管理者の操作は不要)
技術的な詳細
本プラグインには、WooCommerceで買い物途中のカートを復元するための機能があります。ユーザーがカートを放棄した際にメールで復元用リンクが送られ、リンクに含まれる識別値をもとにデータベースからカート情報を取得する仕組みです。
しかしこの識別値は、HTMLタグの除去のみが行われ、データベース問い合わせ文で区切り文字として機能するシングルクォート(’)は除去されず、そのまま受け入れられる状態でした。
さらに、この識別値を使ってデータベースに問い合わせる処理では、WordPressが提供する「プレースホルダ」(値を問い合わせ文の命令部分と分離して安全に扱う仕組み)が使われておらず、識別値が問い合わせ文にそのまま結合されていました。
本来この識別値にはカート復元用のIDだけが入る想定ですが、上記の不備により、攻撃者は識別値の代わりにデータベースへの命令文を埋め込んだURLを作成できます。このURLにアクセスするだけで、攻撃者自身のブラウザ上でデータベースへの不正な問い合わせが実行され、ユーザー情報などを読み取ることが可能でした。
なお、同プラグイン内の他のデータベース問い合わせ処理ではプレースホルダが正しく使用されており、この問題は該当の処理に限定されたものです。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの無効化またはアンインストール
- 本脆弱性に対する修正バージョンは、現時点で提供されていません。
- 速やかにプラグインを無効化するか、アンインストールしてください。
- 代替のメールマーケティングプラグインへの移行をご検討ください。
- 被害確認
- Webサーバーのアクセスログを確認し、URLに
ce4wp-recoverパラメータを含む不審なアクセスがないか確認してください。
特に、パラメータ値に'(シングルクォート)やUNION、SELECTなど通常使われない文字列が含まれている場合は、攻撃を受けた可能性があります。 - 不審なアクセスが確認された場合は、データベース内のユーザー情報が漏洩した可能性を考慮し、全ユーザーへのパスワード変更依頼を検討してください。
- Webサーバーのアクセスログを確認し、URLに
⇒不審なアクセスが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Creative Mail – Easier WordPress & WooCommerce Email Marketing 1.6.9 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-3985 
(公開日 2026年5月20日 更新日 2026年5月20日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-3985 悪用確率 0.07% (上位78%) 2026年5月20日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Creative Mail プラグインをご利用中のお客様には、本脆弱性の状況および推奨対応事項について、順次メールにてご案内しております。
WordPress プラグイン Creative Mail – Easier WordPress & WooCommerce Email Marketing 情報
| セキュリティ告知 | このプラグインの公開は 2026-05-14 に停止されており、現在は、ダウンロードできません。 This plugin has been closed as of May 14, 2026 and is not available for download. This closure is temporary, pending a full review. |
|---|
