TrustBrain

WordPressの登録ユーザー情報をエクスポート(書き出し)するプラグイン「Export User Data」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.2.6 までのすべてのバージョンです。

本脆弱性を悪用された場合、サイトに登録済みの低権限ユーザー(購読者レベル以上)が細工したデータを仕込み、その後に管理者がユーザー情報のエクスポートを実行することを契機として、サーバー上のファイルが不正に削除される可能性があります。

なお、本脆弱性を修正した対策バージョンは現時点で提供されていません。プラグインの停止・削除、または代替の検討を推奨します。

本脆弱性は、エクスポート処理の中で、保存済みのデータを扱う際の安全確認が不十分だったことに起因します。
その結果、悪意ある利用者があらかじめ細工したデータをプロフィール情報として保存しておくと、管理者がエクスポートを実行した際に、そのデータが意図しない形で処理されてしまう状況となっていました。

この脆弱性が悪用された場合、以下の被害が想定されます。

サーバー上のファイル削除

  • サイトの動作に必要なファイルが不正に削除される
  • 特にサイトの根幹となる設定ファイル(wp-config.php など)が削除された場合、サイトが正常に動作しなくなるほか、状況によってはサーバー上で不正なプログラムが実行される足がかりとなるおそれがある

被害発生の条件

以下の条件が両方そろった場合に、被害が発生する可能性があります。

  • サイトに登録済みの低権限ユーザー(購読者レベル以上)が、細工したデータを自身のプロフィール情報に保存する
  • その後、管理者がユーザー情報のエクスポート機能を実行する

いずれか一方だけでは成立しないため、誰も操作していない状態で自動的に被害が起きるものではありません

このプラグインは、保存済みのデータを扱う際に「文字列を元のデータ構造へ復元する処理」を用いています。本来、この復元処理では復元してよいデータの種類を限定する必要がありましたが、その制限が設定されていませんでした。

そのため、悪意ある利用者が用意した細工済みのデータ(本来はプログラムが内部で扱う形式に見せかけたもの)であっても制限なく復元され、その復元をきっかけに動作する内部処理を経由して、最終的にファイル削除につながる操作が引き起こされる状態でした。

該当バージョンをご利用の場合、以下の対応を強く推奨します。対策バージョンが未提供のため、更新以外の対応が中心となります。

  1. プラグインの停止・削除、または代替の検討
    • 修正版が提供されていないため、当該プラグインを一時的に停止・削除するか、代替プラグインへの移行をご検討ください。
  2. 被害・不正データの確認
    • WordPress管理画面の「ユーザー」一覧で、表示名(display name)が不自然な文字列になっているユーザーがいないか確認してください。細工されたデータは、通常の氏名とは異なり O:数字:”…” のような記号を含む長い文字列になっている点が目印です。該当ユーザーが見つかった場合は、表示名の修正または該当アカウントの削除を行ってください。
    • サーバー上で、wp-config.php などの重要ファイルが失われていないか確認してください。
  3. エクスポート機能の運用制限
    • 停止・削除がすぐに難しい場合は、当面の間ユーザー情報のエクスポート機能を実行しない運用とすることで、被害発生の契機を避けられます。

⇒不審な表示名のユーザーやファイルの異常が確認された場合は、WordPressの専門家への相談を推奨します。

Export User Data 2.2.6 までのバージョン

CVE-2026-12240
(公開日 2026年6月30日 更新日 2026年6月30日)

基本値: 8.0 (重要)   [Wordfence]

CVE-2026-12240 悪用確率 0.34% (上位74%) 2026年7月6日時点 

今後30日以内に悪用される確率 )

ソフトウェア脆弱性情報の著作権に関する注意事項

This record contains material that is subject to copyright.

Copyright 2012-2026 Defiant Inc.

License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.

Copyright 1999-2026 The MITRE Corporation

License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.

「Support」、「Technical」、「Customer」、「Service」の文字 と 技術的なWordPress顧客サポート

WordPress運用保守

さらに詳しく

Export User Data プラグインをご利用中のお客様には、推奨対応事項について、順次メールにてご案内しております。

WordPress プラグイン Export User Data 情報 (2026年7月8日 取得)

セキュリティ告知 このプラグインの公開は 2026-06-25 に停止されており、現在は、ダウンロードできません。
This plugin has been closed as of June 25, 2026 and is not available for download. This closure is temporary, pending a full review.