WordPressで寄付受付やファンドレイジング機能を提供するプラグイン「GiveWP – Donation Plugin and Fundraising Platform」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 4.14.5 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者によって、寄付フォームのページに悪意のあるプログラム(スクリプト)が埋め込まれ、閲覧者のブラウザ上で実行される可能性があります。
対策として、バージョン 4.14.6 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、寄付フォームの表示色(メインカラー・サブカラー)を保存・表示する処理において、受け付ける値の形式が適切に制限されていなかったことに起因します。
その結果、本来は色を指定するコード(例:#2d802f のような形式)のみを受け付けるべき箇所に、不正なプログラムを含む任意の文字列を保存できる状態となっていました。保存された不正な値は、寄付フォームのページが表示される際にWebページのソースコードにそのまま書き出されるため、閲覧者のブラウザがその内容をプログラムとして解釈・実行する状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
不正なプログラム実行による影響
- 寄付フォームのページを閲覧しただけで、攻撃者が埋め込んだ不正なプログラムが実行される
- ログイン状態の情報が外部へ送信され、アカウントが乗っ取られる
- ページ内容が改ざんされ、偽の情報が表示される
被害発生の条件
- 攻撃者はログイン不要で、サイトにアクセスできれば攻撃可能
- 閲覧者は寄付フォームのページを表示するだけで影響を受ける(特別な操作は不要)
技術的な詳細
(やや専門的な内容を含みます)
プラグインでは、寄付フォームの表示色をカスタマイズする機能があり、メインカラー(primaryColor)とサブカラー(secondaryColor)を設定できます。
これらの色設定値を保存する処理において、値が正しい色コードの形式であるかを確認する関数(sanitize_hex_color())が使用されていませんでした。そのため、色コード以外の任意の文字列——たとえば不正なプログラムを含む値——がそのままデータベースに保存される状態でした。
さらに、キャンペーンの色設定を寄付フォームに引き継ぐ機能においても同様の問題がありました。キャンペーンから継承された色の値は、通常の保存処理を経由せずに直接出力されていたため、どの段階でも値の安全性を確認する処理が行われていませんでした。
対策版(4.14.6)では、保存時に色の形式をチェックする関数(sanitize_hex_color())による入力値の検証が追加されたほか、画面表示時にも同関数による出力値の検証が行われるよう修正されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(4.14.6 以降)へ更新してください。
- 被害確認
- WordPress管理画面より、GiveWPの寄付フォーム一覧を開き、各フォームの色設定(メインカラー・サブカラー)を確認してください。
通常は # で始まる6桁の英数字(例:#2d802f)ですが、それ以外の不審な文字列が設定されている場合は、改ざんされた可能性があります。 - キャンペーン設定においても、同様に色設定値を確認してください。
- 不審な値が確認された場合は、正規のカラーコードに修正し、サイト上の寄付フォームページに意図しない表示や挙動がないか確認してください。
- WordPress管理画面より、GiveWPの寄付フォーム一覧を開き、各フォームの色設定(メインカラー・サブカラー)を確認してください。
- 追加のセキュリティ対策
- WAF(Webサイトへの不正な通信を遮断する仕組み)の導入は、不正なプログラムを含むリクエストの遮断に有効です。
⇒不審な改ざんが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
GiveWP – Donation Plugin and Fundraising Platform 4.14.5 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-42678 
/ RESERVED(2026年5月20日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
GiveWP プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
