プラットフォーム
wordpress
コンポーネント
datalogics
修正版
2.6.60
2.6.60
Datalogics Ecommerce Delivery – Datalogicsプラグインにおいて、特権昇格の脆弱性が確認されました。この脆弱性は、認証されていない攻撃者が管理者の権限を不正に取得することを可能にします。影響を受けるバージョンは2.6.60以前(2.6.60は含まない)です。2.6.60へのアップデートにより、この脆弱性は修正されています。
この脆弱性を悪用されると、攻撃者は認証なしでWordPressサイトの管理者の権限を取得できます。これにより、攻撃者はサイトのコンテンツを改ざんしたり、悪意のあるコードを挿入したり、機密情報を盗み出したり、さらにはサイト全体を完全に制御したりすることが可能になります。攻撃者は、サイトのデータベースにアクセスし、ユーザーの個人情報やクレジットカード情報を盗む可能性があります。また、攻撃者はサイトを悪意のあるコンテンツを配信するために使用したり、他のシステムへの攻撃の踏み台として利用したりする可能性があります。
この脆弱性は2026年3月12日に公開されました。現時点では、公開されているPoCは確認されていませんが、特権昇格の脆弱性は悪用される可能性が高いため、早急な対応が必要です。CISA KEVカタログへの登録状況は不明です。
エクスプロイト状況
EPSS
0.07% (22% パーセンタイル)
CVSS ベクトル
この脆弱性への最も効果的な対策は、Datalogics Ecommerce Delivery – Datalogicsプラグインをバージョン2.6.60にアップデートすることです。アップデートがすぐに利用できない場合、WordPressのユーザーロール管理を強化し、不要な権限を削除することを検討してください。また、WAF(Web Application Firewall)を導入し、不正なアクセスをブロックすることも有効です。プラグインのファイルアクセスを制限するサーバー設定も有効な緩和策となりえます。
バージョン2.6.60、またはそれ以降の修正されたバージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-2631は、Datalogics Ecommerce Deliveryプラグインのバージョン2.6.60以前に存在する、認証されていない攻撃者が管理者の権限を昇格させることができる脆弱性です。
Datalogics Ecommerce Deliveryプラグインのバージョンが2.6.60以前である場合、この脆弱性の影響を受けています。
Datalogics Ecommerce Deliveryプラグインをバージョン2.6.60にアップデートしてください。
現時点では、公開されているPoCは確認されていませんが、特権昇格の脆弱性は悪用される可能性が高いため、早急な対応が必要です。
Datalogicsの公式アドバイザリは、Datalogicsのウェブサイトで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。