WooCommerce請求書プラグインに乗っ取りの脆弱性 CVE-2026-52704、即更新を

WordPressのネットショップで請求書や納品書のPDFを作る人気プラグイン「WooCommerce PDF Invoice Builder」に、危険度が最大の10.0という脆弱性が見つかりました。番号はCVE-2026-52704です。ログインも会員登録も必要なく、誰でもインターネット越しにショップのサーバー上で好きなプログラムを実行できてしまう恐れがあります。

開発元はすでに修正版のバージョン2.0.9を公開しています。このプラグインを使っているネットショップは、後回しにせず今すぐ更新してください。WordPressプラグインの脆弱性を集計するPatchstackが2026年6月15日に公表しました。

WooCommerce PDF Invoice Builderとは

WooCommerceは、WordPressでネットショップを作るための定番の仕組みです。世界中の中小規模の通販サイトで使われており、日本の個人事業や小規模 EC でも採用例が多くあります。

今回問題が見つかったWooCommerce PDF Invoice Builderは、そのWooCommerceに後付けして使うプラグインです。注文が入ったときに、請求書・納品書・領収書などのPDFをドラッグ＆ドロップのデザイン画面で自由に作り、自動でお客様にメール送信できます。開発者はEdgar Rojas（Rednao）で、WordPress公式の配布ページでの有効インストール数は2,000件以上、最新版は2.0.9です。有料版を含めると実際の利用サイトはこれより多いとみられます。

便利な反面、こうした「テンプレートに沿って書類を自動生成する」機能は、内部で文字列を組み立ててプログラムとして処理する場面が多く、入力の扱いを一つ誤ると、外部から送り込まれた文字列がそのまま命令として動いてしまう危うさを抱えています。今回の脆弱性は、まさにその生成処理に潜んでいました。

請求書を作る小さな窓口から、店ごと持っていかれる

「危険度10.0」は10点満点の満点で、これ以上はありません。なぜ満点になるかというと、攻撃にログインも特別な権限もいらず、ただネット越しに細工した通信を1回送るだけで成立し、しかも被害がサーバー全体に及ぶからです。ネットショップを運営する側の目線で言えば、世界中の誰でも、店の鍵を持っていなくても裏口から入れてしまう状態だ、ということです。

ここを真っ先に突くのは、腕試しの愉快犯ではありません。動機がはっきりしているのは、通販サイトを狙って金銭を抜く攻撃グループ、決済画面に偽の入力欄を仕込んでクレジットカード番号を盗み転売する集団、乗っ取ったショップを踏み台に偽通販サイトやスパムをばらまく業者、サイトを暗号化して「元に戻してほしければ金を払え」と迫るランサム集団です。彼らが取りに来るのは抽象的な「データ」ではなく、注文者のクレジットカード情報、氏名・住所・電話番号がそろった購入履歴、管理者のパスワード、売上の記録、そしてサーバーそのものです。このプラグインの生成処理に細工した通信を一度通された瞬間、店のサーバーは丸ごと相手の手に渡り、レジの中身も顧客名簿も自由に持ち出されてしまいます。

セキュリティの言葉でいうと、これは攻撃者が用意した命令をアプリ側に実行させる「コードインジェクション」です。ログインが不要（PR:N）という点が特に厄介で、こうした穴は人間が一件ずつ狙うのではなく、世界中のサイトを自動で巡回して片端から試すプログラム（ボット）が刺さるサイトを探し当てます。つまり「小さな店だから狙われない」という発想は通用しません。一度乗っ取られたサーバーは、次の攻撃の発射台や、別の被害者をだますための偽サイト置き場として転売され、被害は自分の店の外側にまで広がっていきます。

「10.0」という数字が表すのは、あくまで技術的な深刻さの目盛りにすぎません。個人や小規模で店を回している人にとって本当にこたえるのは、流出させてしまった顧客への謝罪と補償、個人情報保護委員会への報告、止まってしまった売上、ゼロから作り直すサイトの費用、そして「あの店で買うと危ない」という評判のほうです。失うのは「サーバー1台」ではなく、これまで積み上げてきたお客様の信頼そのものです。

CVE-2026-52704：生成処理に外部の命令が紛れ込む

このプラグインは、テンプレートに沿って請求書PDFを組み立てる際、内部でプログラムのコードを動的に生成して処理します。CVE-2026-52704は、NVDの説明では「コード生成の制御が不十分で、外部からのコードの取り込み（Remote Code Inclusion）を許す」とされています。種別はプログラムが意図せず生成・実行される不備（CWE-94、コードインジェクション）です。

つまり、攻撃者が用意した命令を含む通信をプラグインに送り込むと、それが正規のコードの一部として組み立てられ、サーバー上でそのまま実行されてしまいます。本来であれば、外部から来た文字列は「ただのデータ」として扱い、命令として動かしてはいけません。その仕切りが壊れているのが、この脆弱性の核心です。

技術的な評価軸（CVSSベクター）は AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H で、満点の10.0です。難しく見えますが、要点は「ネット越しに（AV:N）、簡単な条件で（AC:L）、ログインなし（PR:N）・利用者の操作なし（UI:N）で成立し、プラグインの枠を越えてサーバー全体に及び（S:C）、情報の盗み見・改ざん・破壊のすべてが最大（C:H/I:H/A:H）」という意味です。攻撃の成立に必要な条件がほとんど何もない、という最悪の組み合わせが、満点という評価につながっています。

自分のショップは対象か、何をすればいいか

対象はWooCommerce PDF Invoice Builder（PDF Builder for WooCommerce）の2.0.8以前です。WordPressの管理画面から、プラグインのバージョンを確認してください。利用状況ごとに、対象かどうかと取るべき対応を整理します。

最優先の対応は、プラグインを2.0.9以降へ更新することです。WordPressの「プラグイン」画面に更新通知が出ているはずなので、適用してください。すぐに更新できない事情がある場合は、暫定的にプラグインを停止・削除することも検討します。請求書PDFの自動作成という機能の性質上、止めても店頭の販売自体は続けられることが多いはずです。

あわせて、更新前にすでに侵入されていなかったかも確認しておきたいところです。身に覚えのない管理者アカウントが増えていないか、サイトのファイルに不審なPHPファイルが置かれていないか、見慣れない通信ログがないかを点検してください。判断がつかない場合は、バックアップから復元したうえで早めに専門家へ相談するのが安全です。WordPress本体・テーマ・他のプラグインも最新の状態に保つことが、こうした脆弱性が出たときの被害を小さくします。

通販プラグインの「乗っ取り」は繰り返されている

ネットショップ向けのプラグインが乗っ取りの入口になる事例は、後を絶ちません。本サイトでも、通販プラットフォームMagentoの拡張機能を悪用したサーバー乗っ取り（CVE-2026-45247）や、WordPress向けのWPCodeで編集者権限から任意コードを実行できる脆弱性（CVE-2026-8832）、サーバー全体が乗っ取られたcPanel用LiteSpeedプラグインの事案（CVE-2026-48172）を取り上げてきました。

共通しているのは、本体ではなく「後付けの拡張機能」が狙われている点です。WordPressやWooCommerce自体は手厚く管理されていても、便利だからと追加したプラグインの一つに穴があれば、そこからサーバー全体が陥落します。プラグインは入れたら終わりではなく、本体と同じく更新を続ける対象だという意識が、通販サイトを守る最も基本的な習慣になります。

悪用状況と、いま見ておくべきこと

2026年6月15日時点で、CVE-2026-52704が実際の攻撃に使われたという報告はなく、米政府機関が攻撃に悪用されている脆弱性をまとめるCISAのKEVカタログにも登録されていません。攻撃に悪用されている脆弱性の最新状況は、本サイトのCISA KEV日本語ダッシュボードでまとめて確認できます。

ただし、危険度10.0かつログイン不要で悪用できる脆弱性は、攻撃側にとって極めて魅力的です。公表をきっかけに無差別な探索が始まる可能性が高く、「まだ攻撃されていない」ことは「更新しなくてよい」ことを意味しません。修正版2.0.9が出ている今のうちに更新を済ませておくのが、最も確実な防御です。

参照元

• ▸ NVD - CVE-2026-52704（2026年6月15日公開）
• ▸ Patchstack - WooCommerce PDF Invoice Builder Unauthenticated RCE（CVE-2026-52704）
• ▸ WordPress.org - PDF Builder for WooCommerce（プラグイン配布ページ）
• ▸ MITRE - CWE-94: Improper Control of Generation of Code ('Code Injection')
• ▸ CISA - Known Exploited Vulnerabilities Catalog