プラットフォーム
wordpress
コンポーネント
webd-woocommerce-advanced-reporting-statistics
修正版
4.1.4
Advanced WooCommerce Product Sales Reportingのバージョン0.0.0から4.1.3において、SQLインジェクションの脆弱性が確認されています。この脆弱性を悪用されると、攻撃者はデータベース内の機密情報に不正にアクセスする可能性があります。影響を受けるバージョンは0.0.0~4.1.3ですが、バージョン4.1.4で修正が提供されています。
このSQLインジェクション脆弱性は、攻撃者がデータベースに対してブラインドSQLインジェクション攻撃を実行することを可能にします。これにより、顧客情報、注文履歴、製品データなど、機密性の高い情報が漏洩するリスクがあります。攻撃者は、データベースの構造を推測し、情報を徐々に抽出することで、広範囲なデータ窃取を行う可能性があります。この脆弱性は、類似のSQLインジェクション攻撃と同様に、深刻なデータ漏洩やシステムへの不正アクセスにつながる可能性があります。
この脆弱性は2026年3月25日に公開されました。現時点では、公開されているPoC(Proof of Concept)は確認されていませんが、SQLインジェクション脆弱性であるため、悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明です。攻撃者による悪用が確認された場合、迅速な対応が必要です。
WooCommerce store owners using the Advanced WooCommerce Product Sales Reporting plugin, particularly those running versions 0.0.0 through 4.1.3, are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially expose data from others.
• wordpress / composer / npm:
grep -r "WPFactory Advanced WooCommerce Product Sales Reporting" /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/advanced-woocommerce-product-sales-reporting/ | grep SQL• wordpress / composer / npm:
wp plugin list | grep advanced-woocommerce-product-sales-reportingdisclosure
エクスプロイト状況
EPSS
0.04% (12% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、Advanced WooCommerce Product Sales Reportingをバージョン4.1.4にアップデートすることを強く推奨します。アップデートが困難な場合は、WAF(Web Application Firewall)を導入し、SQLインジェクション攻撃を検知・防御するルールを設定してください。また、データベースへのアクセス制御を強化し、不要な権限を削除することも有効です。データベースのログ監視を強化し、異常なSQLクエリを検知する仕組みを構築することも重要です。アップデート後、データベースの整合性を確認し、不正アクセスがないか監視してください。
バージョン 4.1.4、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-24993は、Advanced WooCommerce Product Sales Reportingのバージョン0.0.0~4.1.3におけるSQLインジェクション脆弱性であり、攻撃者がデータベースに不正アクセスする可能性があります。
Advanced WooCommerce Product Sales Reportingのバージョン0.0.0~4.1.3を使用している場合は影響を受けます。バージョン4.1.4にアップデートすることで修正されます。
Advanced WooCommerce Product Sales Reportingをバージョン4.1.4にアップデートしてください。アップデートが難しい場合は、WAFの導入やデータベースアクセス制御の強化などの対策を講じてください。
現時点では、公開されているPoCは確認されていませんが、SQLインジェクション脆弱性であるため、悪用される可能性は高いと考えられます。
WPFactoryの公式ウェブサイトでアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。