セキュリティ

SECURITY

公開：2025-03-11

【CVE-2025-26984】WordPress用プラグインSMS Alert Order Notificationsにクロスサイトスクリプティングの脆弱性、バージョン3.7.8以前に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• SMS Alert Order Notifications for WooCommerceにXSS脆弱性
• バージョン3.7.8以前のすべてのバージョンが影響を受ける
• CVSSスコア7.1のハイリスク脆弱性として評価

WordPress用プラグインSMS Alert Order Notifications 3.7.8のXSS脆弱性

Patchstack OÜは2025年3月3日、WordPress用プラグイン「SMS Alert Order Notifications」にリフレクテッドクロスサイトスクリプティング（XSS）の脆弱性が存在することを公開した。この脆弱性は【CVE-2025-26984】として識別されており、バージョン3.7.8以前のすべてのバージョンに影響を与えることが判明している。^[1]

この脆弱性はCVSSv3.1で7.1のスコアを記録しており、高リスクの脆弱性として評価されている。攻撃には特権レベルは不要だが、ユーザーの操作が必要となる特徴があり、影響範囲は機密性、整合性、可用性のそれぞれで「低」と評価されているものの、広範な影響を及ぼす可能性がある。

開発元のCozy Visionは対応策としてバージョン3.7.9をリリースしており、この脆弱性は修正されている。脆弱性の発見者はPatchstack AllianceのHakiduckであり、Webページ生成時の入力の不適切な無害化が原因とされている。

SMS Alert Order Notifications脆弱性の詳細

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性を利用した攻撃手法の一つで、悪意のあるスクリプトをWebページに埋め込むことができる深刻な脆弱性である。主な特徴として、以下のような点が挙げられる。

• Webサイトに悪意のあるスクリプトを注入可能
• ユーザーの個人情報やセッション情報の窃取が可能
• Webサイトの改ざんやフィッシング詐欺に悪用される可能性

特にリフレクテッドXSSは、URLパラメータなどを介して送信された悪意のあるスクリプトがそのままWebページに反映される脆弱性を指す。Webアプリケーションが適切な入力検証や出力エンコーディングを行っていない場合に発生し、ユーザーの操作を必要とする攻撃手法として知られている。

SMS Alert Order Notifications脆弱性に関する考察

今回のXSS脆弱性は、WooCommerceという広く利用されているeコマースプラグインの拡張機能に存在することから、多くのECサイトに影響を与える可能性がある。特に注文通知という重要な機能に関連する脆弱性であるため、悪用された場合の影響は深刻なものとなる可能性が高いだろう。

プラグインの開発元であるCozy Visionは迅速に修正版をリリースしているが、すべてのユーザーが適切にアップデートを実施するまでには時間がかかることが予想される。特に自動アップデートを無効にしているサイトや、プラグインの更新確認を定期的に行っていないサイトでは、脆弱性が長期間放置される可能性が高い。

今後は同様の脆弱性を防ぐため、開発段階でのセキュリティテストの強化やコードレビューの徹底が求められる。さらに、プラグインのアップデート状況を監視する仕組みや、重要な脆弱性が発見された場合の通知システムの整備なども検討する必要があるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-26984, (参照 25-03-11).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧