CVE-2026-4664: 認証バイパス in Customer Reviews for WooCommerce

この認証バイパス脆弱性は、攻撃者がCustomer Reviews for WooCommerceプラグインの認証プロセスを迂回し、不正なレビューを作成することを可能にします。これにより、悪意のあるレビューが公開され、ウェブサイトの評判を損なう可能性があります。また、攻撃者はレビューシステムを悪用してスパムを拡散したり、虚偽の情報を広めたりする可能性があります。特に、レビューの信頼性が重要なECサイトや、顧客からのフィードバックを重視するウェブサイトにとって、深刻な影響をもたらす可能性があります。

Websites using the Customer Reviews for WooCommerce plugin, particularly those with a large number of customer reviews or those relying heavily on customer feedback for sales. Shared hosting environments are also at increased risk, as vulnerabilities in plugins can affect multiple websites on the same server.

• wordpress / composer / npm:

grep -r "create_review_permissions_check" /var/www/html/wp-content/plugins/customer-reviews-for-woocommerce/

• wordpress / composer / npm:

wp plugin list --status=all | grep customer-reviews-for-woocommerce

• wordpress / composer / npm:

wp plugin update customer-reviews-for-woocommerce --all

1. 2026-04-10Disclosure

   disclosure

1. 予約済み2026-03-23
2. 公開日2026-04-10
3. 更新日2026-04-13
4. EPSS 更新日2026-04-17

この脆弱性への最も効果的な対策は、Customer Reviews for WooCommerceプラグインをバージョン5.104.0にアップデートすることです。アップデートが困難な場合は、WordPressのファイアウォール（WAF）を使用して、createreviewpermissions_check()関数への不正なリクエストをブロックすることを検討してください。また、レビュー作成フォームの入力検証を強化し、空のキー値の送信を防止することも有効です。プラグインのアップデート後、レビュー作成機能が正常に動作することを確認してください。

アクティブインストール数

80K既知

プラグイン評価