複数のWordPressサイトをまとめて管理するためのプラグイン「ManageWP Worker」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 4.9.31 までのすべてのバージョンです。
この問題が悪用された場合、ログインしていない第三者によって、管理者のブラウザ上で悪意のあるプログラム(スクリプト)が実行される可能性があります。
対策として、バージョン 4.9.32 以降への更新を推奨します。
脆弱性詳細
この問題は、外部の管理サービス(ManageWP)からの接続確認のリクエストを処理する際、リクエストに含まれる接続に使う識別名を、内容の安全確認をせずにデータベースへ保存していたことが原因です。
保存された内容は、管理者がプラグインの接続管理ページ(ManageWP Workerの設定画面)を開いた際に、安全な形に変換する処理(エスケープ)なしにそのまま画面へ表示される状態になっていました。
想定される被害
この問題が悪用された場合、以下のような被害が想定されます。
管理者への影響
- ページを開いた際に、攻撃者が仕込んだプログラムがブラウザ上で動作する
- 管理者のログイン情報が盗まれ、管理者アカウントが乗っ取られる
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 攻撃者が、プラグインが外部に公開しているURLに不正なデータを送り込む
- 管理者が、プラグインの接続管理ページを開く
なお、攻撃者がプログラムを仕込む段階では、管理者の操作は必要ありません。通常の管理作業中に接続管理ページを開くだけで影響を受ける可能性があります。
技術的な詳細
(やや専門的な内容です)
この問題は「書き込み側」と「表示側」の2箇所の処理が組み合わさることで成立します。
まず書き込み側では、ManageWPサービスとの通信を確認する処理において、認証の成否にかかわらず、通信ヘッダーに含まれる接続の識別名(MWP-Key-Name)がエラー情報の一部としてデータベースに記録されます。このURLは外部から認証なしにアクセスできる状態であり、また保存前に危険な内容を取り除く処理も行われていませんでした。
次に表示側では、保存されたエラー情報が管理者の接続管理ページに表示される際、安全な形に変換する処理が行われていませんでした。その結果、データベースに書き込まれたプログラムが管理者のブラウザ上でそのまま動作する状態となっていました。
対策版では、データベースへの保存前に危険な内容を取り除く処理と、表示時に安全な形への変換処理の双方が実装されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(4.9.32 以降)へ更新してください。
- 被害確認
- WordPress管理画面の「プラグイン」ページを開き、ブラウザのアドレスバーに表示されているURLの末尾に
?worker_connections=1を追加してページを再表示します(ManageWP Workerの接続管理ページが開きます) - 表示されたページ内の「Last communication error」欄に、
<script>のような見慣れない記号や文字列が含まれていないか確認してください - 不審な内容が確認された場合や、管理者アカウントへの不正アクセスが疑われる場合は、WordPressの専門家にご相談ください
- ※ 更新前に上記ページへアクセスすると、保存されたプログラムが実行されるリスクがあります。必ず更新後に確認してください。
- WordPress管理画面の「プラグイン」ページを開き、ブラウザのアドレスバーに表示されているURLの末尾に
- 追加のセキュリティ対策
- WAF(Webアプリケーションファイアウォール)を導入している場合、今回のような外部からの不正なリクエストを遮断する効果が期待できます。
⇒ 不審な表示や変更が確認された場合は、プラグインを停止したうえで、WordPressの専門家へのご相談を推奨します。
影響を受けるバージョン
ManageWP Worker 4.9.31 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-3718 
(公開日 2026年5月14日 更新日 2026年5月14日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (高) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-3718 悪用確率 0.20% (上位90%) 2026年6月16日時点
参考
ManageWP Worker <= 4.9.31 – Unauthenticated Stored Cross-Site Scripting via ‘MWP-Key-Name’ Header
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
ManageWP Worker プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
