MStore API – クラウド上でネイティブAndroid & iOSアプリを作成 <= 4.17.4 - 認証されていない限定的な権限昇格

この脆弱性を悪用されると、認証されていない攻撃者が'wcfm_vendor'ロールで登録できるようになります。このロールは、WCFM Marketplaceプラグインにおけるストアベンダーの役割を担います。攻撃者は、この権限を利用して、ストアの管理機能へのアクセス、データの改ざん、不正な商品登録など、様々な悪意のある行為を実行する可能性があります。WCFM Marketplaceプラグインが導入されているWordPressサイト全体が影響を受ける範囲となり、データ漏洩やサービス停止といった深刻な被害につながる可能性があります。

WordPress sites utilizing the MStore API plugin in conjunction with the WCFM Marketplace – Multivendor Marketplace for WooCommerce plugin are at risk. Specifically, sites with permissive role assignment configurations or those running older, unpatched versions of the MStore API plugin are particularly vulnerable.

• wordpress / composer / npm:

grep -r 'wcfm_vendor' /var/www/html/wp-content/plugins/
wp-cli plugin list | grep mstore-api

• wordpress / composer / npm:

curl -I https://your-wordpress-site.com/wp-content/plugins/mstore-api/ | grep 'X-Powered-By'

• wordpress / composer / npm:

wp plugin status mstore-api

1. 2025-05-02Disclosure

   disclosure

1. 予約済み2025-04-07
2. 公開日2025-05-02
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

まず、MStore API WordPressプラグインをバージョン4.17.3以降にアップデートすることを推奨します。アップデートが困難な場合は、WCFM Marketplace – Multivendor Marketplace for WooCommerceプラグインを一時的に無効化することで、攻撃対象領域を縮小できます。また、WordPressのユーザー管理機能を強化し、不要なロールの作成を制限することも有効です。WAF（Web Application Firewall）を導入し、不正なロール登録リクエストを検知・遮断するルールを設定することも検討してください。アップデート後、プラグインの動作確認を行い、意図しない動作がないことを確認してください。

アクティブインストール数

3K既知

プラグイン評価

3.7

WordPressが必要

4.4+

動作確認済みバージョン

7.0