WordPressで音楽プレイリストを作成・管理するプラグイン「AudioIgniter Music Player」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.0.2 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者でも、非公開・下書き状態のプレイリストに含まれる楽曲報を取得できる状態になっていました。
対策として、バージョン 2.0.3 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プレイリストの楽曲情報を外部に提供する内部処理において、アクセスしてきた相手が閲覧権限を持つかどうかの確認が行われていなかったことに起因します。
この処理は、プレイリストを識別する番号さえ指定すれば、ログイン状態や公開状態に関係なく、曲名・アーティスト名・音声ファイルの場所・購入リンク・ダウンロードURL・カバー画像などの楽曲情報を返していました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
非公開プレイリスト情報の外部流出
- 下書き・非公開・審査中・ゴミ箱内のいずれの状態であっても、楽曲情報が取得できる状態
- 公開前のプレイリストに含まれる音声URL・購入リンク・ダウンロードURLが外部に漏れる可能性
被害発生の条件
- ログイン不要。サイトにアクセスできれば誰でも悪用できる状態
- プレイリストを識別する番号さえ分かれば成立するため、特別な操作や認証は不要
技術的な詳細
(やや専門的な内容です)
このプラグインは、音楽プレイヤーが楽曲情報を取得するために、内部の専用URLへアクセスします。このURLにプレイリストを識別するID番号を含めて指定することで、対応する楽曲情報を受け取る仕組みになっています。
修正前のコードでは、このIDを受け取った際に「投稿の種類がプレイリストかどうか」しか確認しておらず、以下の確認が行われていませんでした。
- アクセスしているユーザーがログイン済みかどうか
- 対象プレイリストが公開状態かどうか
- ログイン済みであっても、そのプレイリストを閲覧する権限があるかどうか
その結果、IDを変えながら順番に試すことで、非公開・下書き・ゴミ箱状態のプレイリストの楽曲情報を誰でも取得できる状態になっていました。
修正版(2.0.3)では、未ログインのユーザーには公開状態のプレイリストのみ返すよう、またログイン済みユーザーには閲覧権限の確認を行ったうえで返すよう、それぞれ制御が追加されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.0.3 以降)へ更新してください。
- 被害確認
- WordPressの管理画面から「AudioIgniter」のプレイリスト一覧を開き、「下書き」「非公開」「ゴミ箱」状態のプレイリストに、外部に流出すると困るコンテンツ(公開予定の楽曲など)が含まれていないかご確認ください。
- 心当たりがある場合は、対象プレイリストの音声ファイルのURLを変更するか、ファイルを差し替えることをご検討ください。
⇒ 不審なアクセスが疑われる場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
AudioIgniter Music Player 2.0.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-8679 
(公開日 2026年5月22日 更新日 2026年5月22日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-8679 悪用確率 1.14% (上位38%) 2026年6月16日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
AudioIgniter Music Player プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
