WordPressの有料 プラグイン「Yoast SEO Premium」にXSS 脆弱性(CVE-2025-11241)

セキュリティニュース

投稿日時: 更新日時:

WordPressの有料 プラグイン「Yoast SEO Premium」に保存型XSS脆弱性(CVE-2025-11241)

WordPress向け「Yoast SEO Premium」で、保存型クロスサイトスクリプティング(Stored XSS)の脆弱性が報告され、v26.0で修正されました。影響を受けるのは v25.7〜v25.9。脆弱性識別子は CVE-2025-11241、CVSS 3.1スコアは 6.4(Medium) です。

脆弱性の対象バージョン

本脆弱性は Yoast SEO Premium(有償版)の v25.7〜v25.9 が対象です(無料版のYoast SEOは対象外)

脆弱性の対策バージョン

公式の修正は v26.0 以降 に含まれているため、運用中のサイトはただちに Yoast SEO Premiumを26.0以上へアップデートしてください。複数ユーザー(Contributor/Author/Editor等)に投稿権限を与えているサイトほど影響が大きくなり得ます。

脆弱性の概要

投稿本文から属性を除去する処理に用いられていた 正規表現(regex)の不備 により、保存型XSS(Stored Cross-Site Scripting) が成立します。少なくとも Contributor(投稿者)以上の認証済みユーザー が、投稿本文内に 任意のHTML属性(onerror などのJavaScriptイベント属性を含む) を注入でき、記事を閲覧した管理者や訪問者のブラウザで 悪意のスクリプトが実行 される可能性があります。これにより、Cookie/セッショントークンの窃取、権限昇格、管理画面での不正操作、フィッシング/リダイレクト などの二次被害につながるおそれがあります。

対策としてはアップデートが最優先で、併せて投稿権限の最小化と直近投稿の不審なイベント属性(onload/onclick 等)の有無を点検することが推奨されます。