概要
WordPress EC プラグイン WooCommerce バージョン 7.1.0 において、製品タイプを指定するパラメータの入力サニタイズ不備によりリモートコード実行(RCE)が可能な脆弱性が確認されました。本CVEは2022年に発見されたものが2026年6月に NVD へ登録されました。
class-wc-meta-box-product-images.php エンドポイントへのリクエストで product-type 値が未サニタイズのまま処理され、悪意のある PHP ファイルをウェブルートに書き込むことができます。書き込まれたファイルを実行することでリモートコード実行が成立します。
Exploit-DB(#51156)に実証情報が公開されており、現在もこのバージョンの WooCommerce を使用している場合は脆弱な状態です。
技術的背景
本脆弱性は WooCommerce の製品管理機能における入力検証の不備に起因します。product-type パラメータはサーバーサイドでシェルコマンドの一部として使用されており、適切なエスケープが行われていないため、インジェクションが成立します。
攻撃が成功した場合、WordPress ウェブルートに任意の PHP ファイルが作成され、その後の HTTP リクエストでそのファイルを実行することにより、ウェブサーバーの権限でコマンドを実行できます。これにより、WordPress のデータベース認証情報の窃取、他のサイトへの横展開、バックドア設置などが可能となります。
本CVEは2022年の古い脆弱性ですが、WooCommerce は世界中の EC サイトで広く使用されているプラットフォームであるため、パッチ未適用のサイトが残存している可能性があります。2026年6月に VulnCheck によって NVD に正式登録され、改めて注目されています。
CVSSベクトル
| 指標 | 値 |
|---|---|
| 攻撃ベクトル(AV) | ネットワーク (N) |
| 攻撃複雑度(AC) | 低 (L) |
| 必要権限(PR) | 不要 (N) |
| ユーザー操作(UI) | 不要 (N) |
| スコープ(S) | 変更なし (U) |
| 機密性(C) | 高 (H) |
| 完全性(I) | 高 (H) |
| 可用性(A) | 高 (H) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| WooCommerce | Automattic | 7.1.0(旧バージョン) |
修正バージョンと回避策
推奨対応:
- WooCommerce を最新バージョンへ更新する
- WordPress と WooCommerce の定期的なアップデートを維持する
- ウェブルートへの PHP ファイル書き込みを検出・ブロックする仕組みを導入する
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。