プラットフォーム
wordpress
コンポーネント
ni-woocommerce-order-export
修正版
3.1.7
3.1.7
Ni WooCommerce Order Exportプラグインのバージョン3.1.6以前には、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在します。この脆弱性は、nonce検証が不十分なniorderexport_action() AJAXハンドラに起因します。攻撃者はこの脆弱性を悪用して、プラグインの設定を不正に更新することが可能です。WordPressサイトを運用しているユーザーは、最新バージョンへのアップデートを推奨します。
このCSRF脆弱性を悪用されると、攻撃者は認証なしでNi WooCommerce Order Exportプラグインの設定を改ざんできます。これにより、注文エクスポート機能の動作が変更されたり、機密情報が漏洩したりする可能性があります。攻撃者は、悪意のある設定を適用することで、プラグインの機能を妨害したり、不正なデータ操作を実行したりすることも考えられます。WordPressサイト全体のセキュリティに影響を及ぼす可能性があります。
この脆弱性は、2026年4月21日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、今後の攻撃の可能性は否定できません。CISA KEVへの登録状況は不明です。
エクスプロイト状況
EPSS
0.01% (0% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、Ni WooCommerce Order Exportプラグインを最新バージョン(3.1.7以降)にアップデートすることを推奨します。アップデートが困難な場合は、WAF(Web Application Firewall)を導入し、CSRF攻撃を検知・防御するルールを設定してください。また、WordPressのセキュリティプラグインを活用し、nonce検証を強化することも有効です。プラグインの設定変更時に、ユーザーに確認を求める機能を有効にすることも推奨されます。
既知の修正プログラムはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-4140は、Ni WooCommerce Order Exportプラグインのバージョン3.1.6以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。攻撃者はこの脆弱性を悪用して、プラグインの設定を不正に更新できます。
はい、影響があります。攻撃者はプラグインの設定を改ざんし、注文エクスポート機能の動作を妨害したり、機密情報を漏洩させたりする可能性があります。
Ni WooCommerce Order Exportプラグインを最新バージョン(3.1.7以降)にアップデートしてください。アップデートが困難な場合は、WAFを導入するなど、代替の対策を検討してください。
現時点では、公的なPoCは確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、今後の攻撃の可能性は否定できません。
Ni WooCommerce Order Exportの公式アドバイザリは、プラグインの公式サイトまたはWordPressプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。