WordPressのPerfmattersプラグインは、バージョン2.5.9およびそれ以前のバージョンにおいて、パス・トラバーサルによる任意のファイル上書きの脆弱性を抱えています。これは、`PMCS::action_handler()`メソッドが、認証チェックやnonce検証なしに、バルクアクションの`activate`/`deactivate`ハンドラを処理するためです。`$_GET['snippets'][]`の値がサニタイズされずに`Snippet::activate()`/`Snippet::deactivate()`に渡され、それらは`Snippet::update()`を呼び出し、トラバースされたパスで`file_put_contents()`を呼び出します。

この脆弱性は、認証された攻撃者（Subscriber以上の権限を持つ）が、activateまたはdeactivateのバルクアクション処理において、$GET['snippets'][]パラメータを不正に操作することで、ファイルパスのトラバーサル攻撃を実行することを可能にします。攻撃者は、Snippet::activate()/Snippet::deactivate()関数を介してSnippet::update()を呼び出し、最終的にfileput_contents()関数を使用して、システム上の任意のファイルを上書きできます。これにより、機密情報の漏洩、システムの改ざん、さらにはサーバー全体の制御権の奪取といった深刻な被害が発生する可能性があります。WordPressサイトのセキュリティを著しく損なうリスクがあります。

WordPress websites utilizing the Perfmatters plugin, particularly those with Subscriber-level users or higher, are at risk. Shared hosting environments where users have limited control over file permissions are especially vulnerable. Sites with outdated plugin versions or those lacking robust security practices are also at increased risk.

• wordpress / composer / npm:

grep -r "Snippet::update\(" /var/www/html/wp-content/plugins/perfmatters/

• generic web:

curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=pmcs_action_handler&snippets%5B%5D=../../../../etc/passwd

• wordpress / composer / npm:

wp plugin list --status=all | grep perfmatters

1. 2026-04-10Disclosure

   disclosure

1. 予約済み2026-03-17
2. 公開日2026-04-10
3. 更新日2026-04-13
4. EPSS 更新日2026-04-17

この脆弱性への対応策として、まずPerfmattersプラグインをバージョン2.6.0にアップデートすることを強く推奨します。アップデートが直ちに実行できない場合は、WordPressの.htaccessファイルに以下のルールを追加して、PMCS::action_handler()への不正なアクセスを制限するWAF（Web Application Firewall）のルールを実装することを検討してください。また、プラグインのファイルアクセス権限を厳しく制限し、不要なファイルの書き込みを禁止することも有効です。プラグインのアップデート後、ファイルアクセス権限とWAFルールが正しく設定されていることを確認してください。