プラットフォーム
wordpress
コンポーネント
wp-user-avatar
修正版
4.16.12
ProfilePressプラグインは、WordPressサイトの有料メンバーシップ、電子商取引、ユーザー登録フォーム、ログインフォーム、ユーザープロファイル、コンテンツ制限機能をサポートするプラグインです。CVE-2026-3309は、このプラグインのバージョン0.0.0から4.16.11までのバージョンに存在する脆弱性で、攻撃者が不正なショートコードを実行する可能性があります。この脆弱性は、チェックアウトプロセスにおける請求フィールド値の処理に起因します。バージョン4.16.12で修正されました。
この脆弱性を悪用されると、攻撃者は認証なしでWordPressサイト上で任意のショートコードを実行できます。これにより、サイトのコンテンツが改ざんされたり、悪意のあるスクリプトが実行されたりする可能性があります。攻撃者は、請求フィールドに巧妙に作成された値を送信することで、この脆弱性を悪用できます。サイトの機密情報が漏洩したり、ユーザーアカウントが乗っ取られたりするリスクも考えられます。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。
この脆弱性は、2026年4月4日に公開されました。現時点では、公開されているPoC(Proof of Concept)は確認されていませんが、脆弱性の性質上、悪用される可能性はあります。CISA KEVカタログへの登録状況は不明です。攻撃者による悪用が確認された場合は、迅速に対応する必要があります。
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずProfilePressプラグインをバージョン4.16.12以降にアップデートすることを推奨します。アップデートが困難な場合は、WAF(Web Application Firewall)を導入し、不正なショートコードの実行を検知・ブロックするルールを設定してください。また、WordPressのセキュリティプラグインを導入し、不正なコードの実行を監視することも有効です。請求フィールドの入力を厳しく制限するカスタムコードを実装することも、一時的な回避策として検討できます。アップデート後、プラグインの動作を十分にテストし、問題がないことを確認してください。
バージョン4.16.12、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-3309は、ProfilePressプラグインのバージョン0.0.0~4.16.11において、攻撃者が不正なショートコードを実行できる脆弱性です。
ProfilePressプラグインのバージョン0.0.0から4.16.11を使用しているWordPressサイトは、この脆弱性の影響を受けます。
ProfilePressプラグインをバージョン4.16.12以降にアップデートすることで、この脆弱性を修正できます。
現時点では、CVE-2026-3309の悪用事例は確認されていませんが、悪用される可能性はあります。
ProfilePressの公式アドバイザリは、プラグインのアップデート情報やセキュリティに関する情報が掲載されている可能性があります。プラグインのウェブサイトまたはWordPressのアップデート通知をご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。