概要
WooCommerce Custom Product Addons Pro は WordPress 用の WooCommerce 拡張プラグインで、商品ページにカスタムフィールドや価格計算式を追加する機能を提供します。バージョン 5.4.1 以下の全バージョンにおいて、includes/process/price.php 内の process_custom_formula() 関数でカスタム価格計算式を処理する際に PHP の eval() が使用されており、ユーザーが送信したフィールド値に対する入力サニタイズが不十分なため、リモートコード実行(RCE)の脆弱性が存在します。
CWE-95(Eval Injection)に分類されるこの問題により、未認証の攻撃者がカスタム価格計算式を設定した WCPA テキストフィールドに細工した値を送信することで、サーバー上で任意の PHP コードを実行できます。CVSS スコア 9.8(Critical)であり、ネットワーク経由で認証不要・ユーザー操作不要で攻撃可能なため、極めて深刻な脆弱性です。
該当プラグインを使用している WordPress サイトでは、直ちにアップデートまたはプラグインの無効化が必要です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8 |
| 深刻度 | Critical |
| 攻撃ベクトル | ネットワーク |
| 攻撃の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 不要 |
| CWE | CWE-95 (Eval Injection) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| WooCommerce Custom Product Addons Pro | AcoWebs | 5.4.1 以下の全バージョン |
修正バージョンと回避策
- 修正バージョン: プラグインの最新バージョン(5.4.1 より後のリリース)へアップデート
- 暫定回避策:
- プラグインを直ちに無効化する
- カスタム価格計算式(Custom Pricing Formula)機能を使用している場合は、該当フィールドを削除する
- WAF(Web Application Firewall)でコードインジェクションパターンをブロックするルールを適用する
- 確認事項: アップデート後、サイト上でカスタム価格計算が正常に動作することを検証する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。