プラットフォーム
wordpress
コンポーネント
woocommerce
修正版
5.4.4
5.4.5
5.6.3
5.7.3
5.8.2
5.9.2
6.0.2
6.1.3
6.2.3
6.3.2
6.4.2
6.5.2
6.6.2
6.7.1
6.8.3
6.9.5
7.0.2
7.1.2
7.2.4
7.3.1
7.4.2
7.5.2
7.6.2
7.7.3
7.8.4
7.9.2
8.0.5
8.1.4
8.2.5
8.3.4
8.4.3
8.5.5
8.6.4
8.7.3
8.8.7
8.9.5
9.0.4
9.1.7
9.2.5
9.3.6
9.4.5
9.5.4
9.6.4
9.7.3
9.8.7
9.9.7
10.0.6
10.1.4
10.2.4
10.3.8
10.4.4
10.5.3
10.5.3
CVE-2026-3589は、WordPressのWooCommerceプラグインにおけるCross-Site Request Forgery (XSRF)の脆弱性です。この脆弱性は、nonce検証の不備が原因で発生し、攻撃者が管理者権限を悪用して不正な操作を実行する可能性があります。影響を受けるバージョンはWooCommerce 10.5.3以前です。2026年3月10日に公開され、バージョン10.5.3へのアップデートで修正されています。
このXSRF脆弱性を悪用されると、攻撃者はWordPressサイトの管理者を騙し、不正な操作を実行させることが可能です。例えば、設定の変更、プラグインのインストール/アンインストール、コンテンツの変更など、管理者が実行できるあらゆる操作を攻撃者が実行できてしまいます。これにより、サイトの改ざん、データの窃取、さらにはサイト全体の乗っ取りといった深刻な被害が発生する可能性があります。攻撃者は、巧妙に偽装されたリンクをクリックさせることで、管理者権限を奪取し、サイトを完全にコントロールする可能性があります。
この脆弱性は、2026年3月10日に公開されており、現時点では公的なエクスプロイトコードは確認されていません。しかし、XSRFは比較的容易に悪用可能な脆弱性であるため、早期の対策が推奨されます。CISA KEVカタログへの登録状況は不明です。
エクスプロイト状況
EPSS
0.03% (10% パーセンタイル)
CVSS ベクトル
この脆弱性への対応として、まずWooCommerceプラグインをバージョン10.5.3にアップデートすることを推奨します。アップデートが困難な場合は、WAF(Web Application Firewall)を導入し、XSRF攻撃を検知・防御するルールを設定してください。また、WordPressのセキュリティプラグインを導入し、nonce検証の強化や、不審なリクエストのブロックなどの対策を講じることも有効です。さらに、管理者のアカウントでログインする際は、常に注意を払い、不審なリンクはクリックしないようにしてください。
バージョン 10.5.3、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-3589は、WooCommerceプラグインのバージョン10.5.3以前に存在するCross-Site Request Forgery (XSRF)の脆弱性です。攻撃者が管理者権限を悪用し、不正な操作を実行する可能性があります。
WooCommerceプラグインのバージョンが10.5.3以前の場合は、影響を受けます。バージョン10.5.3にアップデートしてください。
WooCommerceプラグインをバージョン10.5.3にアップデートしてください。アップデートが困難な場合は、WAFの導入やWordPressセキュリティプラグインの活用を検討してください。
現時点では公的なエクスプロイトコードは確認されていませんが、XSRFは比較的容易に悪用可能な脆弱性であるため、早期の対策が推奨されます。
WooCommerceの公式アドバイザリは、[https://woocommerce.com/security/](https://woocommerce.com/security/) で確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。