WooCommerce向けにメール配信や顧客情報の連携機能を提供するプラグイン「Omnisend for WooCommerce」(正式名称:Email Marketing for WooCommerce by Omnisend)において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.18.0 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、サイトの連携先アカウント情報が書き換えられる可能性があります。
対策として、バージョン 1.18.1 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、外部サービス(Omnisend)との連携手続きで使う「連携用トークン」が、第三者に推測できてしまう方法で作られていたことに起因します。
本来このトークンは、当事者だけが知る一時的な合言葉として機能するべきものでした。
想定される被害
この脆弱性が悪用された場合、以下の被害が想定されます。
- サイトに保存された連携用の認証キー(API キー)と連携先アカウントの識別情報が、攻撃者の値に書き換えられる
- その結果、本来は自身のアカウントへ届くはずの顧客情報・注文情報・配信が、攻撃者のアカウント側へ転送される
被害発生の条件
- サイト側で連携用トークンが有効になっている期間(連携の設定・再接続を行っている最中など)であること
- この条件が満たされていれば、ログインの有無にかかわらず外部から攻撃が可能
技術的な詳細
(以下はやや専門的な内容です。仕組みにご関心のある方向けです。)
プラグインは、連携リクエストが正規の手続きによるものかを確認するために「連携用トークン」を使っていました。ところがこのトークンが、生成時の時刻(秒単位)だけから計算される値だったため、1日に存在しうる候補は限られており、総当たりで再現できてしまう状態でした。
攻撃者はこの推測したトークンを使って連携受付用の処理を通過し、サイトに保存される連携先情報を自分の値に書き換えることができました。
対策版では、トークンが推測できない安全な乱数で生成されるよう変更され、あわせてトークンの照合処理も強化されています。
脆弱性の種類
CWE-330 不十分なランダム値の使用(Use of Insufficiently Random Values) 
※本来ランダムであるべき値が、推測できる方法で作られていたことを指します。
推奨対応事項
該当バージョンをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに対策バージョン(1.18.1 以降)へ更新してください。
- 被害の確認
- Omnisendの連携設定画面を開き、連携先が自身のアカウントになっているかを確認してください。見覚えのないアカウントに連携されている場合は、書き換えられた可能性があります。
- プラグインのログ機能を有効にしている場合は、自分が連携操作を行っていないタイミングで「API KEY saved.」という記録が残っていないか確認してください。心当たりのない記録は、連携先が書き換えられた痕跡である可能性があります。
- 連携の再設定(書き換えが疑われる場合)
- プラグインを更新してもトークンの生成方法が安全になるだけで、すでに書き換えられた連携先情報は元には戻りません。
- 万一書き換えが疑われる場合は、いったん連携を解除し、自身のアカウントで接続し直してください。
⇒不審な連携先や心当たりのない記録が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Omnisend for WooCommerce 1.18.0 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-42668 / RESERVED(2026年6月10日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Omnisend for WooCommerce プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
