SQL Injection Flaw Affects 40,000 WordPress Sites
2026/02/03 InfoSecurity — WordPress の Quiz and Survey Master プラグインに、SQL インジェクションの脆弱性 CVE-2025-67987 が発見された。この脆弱性を悪用する認証済みのユーザーにより、データベース・クエリへの干渉が可能となり、4 万件超の WordPress サイトに影響が生じることが判明した。この脆弱性はバージョン 10.3.1 以下に存在しており、サブスクライバ権限以上を持つ任意のログイン済みユーザーによる悪用が可能であり、未承認のデータアクセスのリスクが高まっている。
Quiz and Survey Master は QSM とも呼ばれ、クイズ/アンケート・フォームを作成するために広く利用されている。マルチメディア対応やドラッグ&ドロップ式のクイズビルダーなどの機能セットが、大規模な有効インストール数につながっている。この脆弱性の悪用においては、管理者権限が必要とされないため、幅広いユーザー・アカウントからの悪用というリスクが生じている。
脆弱性がデータベースを露出させた仕組み
この脆弱性は、クイズ設問データを取得する REST API 関数内に存在する。”is_linking” というリクエスト・パラメータは、数値 ID であることが仮定されていたが、適切な検証なしにデータベース・クエリに挿入されていた。この値は他の設問 ID と結合された上で SQL 文として実行されているが、事前のサニタイズは一切行われていなかった。
この欠陥を突く悪意のユーザーは、追加の SQL コマンドを取り込んだ、細工済みの入力データを送信することが可能になる。クエリはプリペアド・ステートメントを使用せずに構築されているため、データベースは注入された内容をクエリの一部として処理し、データ抽出などの操作を許容する。
この問題には、CVE-2025-67987 が割り当てられているが、実環境での悪用が確認された形跡はない。しかし、この脆弱性が浮き彫りにするのは、ユーザーが直接制御しないと想定されているリクエスト・データであっても、無防備に信頼してしまうことのリスクである。
リリースされたパッチ
先週 Patchstack が公開したアドバイザリによると、この脆弱性は Quiz and Survey Master バージョン 10.3.2 において修正されている。このアップデートでは、”is_linking “パラメータを intval 関数により整数へと強制変換することで、データベース・クエリにおいて数値のみを処理するための対策が施されている。
この脆弱性は、Patchstack Alliance コミュニティのメンバーである Doan Dinh Van により発見/報告された。Patchstack は 2025年11月21日に報告を受領し、このプラグイン・ベンダーへ通知した。修正済みリリースは 2025年12月4日に提供され、アドバイザリは 2026年1月下旬に公開された。
このインシデントが改めて示すのは、WordPress プラグインにおいてデータベース・クエリを扱う際の入力検証と、プリペアド・ステートメント使用の重要性である。
この問題の原因は、利用者から送られてくるデータは必ず正しい形式 (数字) であると想定するアンケート作成ツールが、その内容をチェックせずにデータベースへの命令文 (SQL) に直接組み込んでしまったことにあります。それにより、”is_linking” という設定項目を介して、数字ではなくデータベースを操作する悪意の命令が送信されると、システムがそれを命令の一部として実行してしまいます。これが、SQLインジェクションと呼ばれる脆弱性です。この問題の深刻な点は、管理者ではない一般のログインユーザーであっても、この欠陥を突いてデータベース内の機密情報を盗み出せてしまう点にあります。ご利用のチームは、ご注意ください。よろしければ、WordPress での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.