Survey MakerにXSS脆弱性（CVSSスコア6.1）｜WordPressプラグイン利用者は今すぐアップデートを

2026年2月20日、Ays Proが提供するWordPress用プラグイン「Survey Maker」にクロスサイトスクリプティングの脆弱性（CWE-79）が存在することが公表された。対象はバージョン5.1.7.7以前で、CVSSv4.0基本値は5.1、CVSSv3.0基本値は6.1、CVE番号はCVE-2026-26370だ。

悪用された場合、ユーザーのウェブブラウザ上で任意のスクリプトが実行される可能性がある。対策は最新版へのアップデートである。本脆弱性は株式会社ラックの熊丸匠伍氏がIPAに報告し、JPCERT/CCが開発者との調整を行った。

From: JVN#20049394 WordPress用プラグインSurvey Makerにおけるクロスサイトスクリプティングの脆弱性

【編集部解説】

今回の脆弱性は、WordPress用アンケート作成プラグイン「Survey Maker」（Ays Pro製）に発見されたクロスサイトスクリプティング（XSS）です。まずXSSとは何かを整理しておきましょう。XSSとは、攻撃者がWebページに悪意あるJavaScriptコードを「注入」し、そのページを閲覧したユーザーのブラウザ上で不正なスクリプトを実行させる手法です。今回のケースでは、CVSSベクター（認証不要・ユーザー操作が必要）から、攻撃者が細工したリンクをユーザーにクリックさせることで攻撃が成立する「Reflected XSS（反射型XSS）」の特性を持つとみられます。

CVSSスコアはv4.0で5.1、v3.0で6.1とどちらも「Medium（中程度）」ですが、この数値だけで安心するのは早計です。攻撃に必要な条件を見ると、「ネットワーク経由で可能」「攻撃の複雑さは低い」「特別な権限は不要」という点が揃っており、攻撃者が悪意のあるリンクを用意するだけで攻撃のトリガーになりえます。

「Survey Maker」はアンケート機能を提供するプラグインであるという点も、リスク評価において見逃せない文脈です。アンケートフォームを設置するサイトでは、個人情報や意見・回答データを収集するケースが少なくありません。XSSが悪用されると、セッションの乗っ取り、フィッシングページへのリダイレクト、フォームへの入力内容の窃取といった二次被害につながる可能性があります。

また、このプラグインには過去にも複数のXSS脆弱性が報告されており、2023年のCVE-2023-2572（CVSSv3.0スコア6.1）、2024年のCVE-2024-13505（CVSSv3.0スコア4.8）、そして2025年にはより深刻な「Stored XSS（蓄積型XSS）」であるCVE-2025-48098（CVSSスコア7.1 / High）も確認されています。繰り返しXSS系の脆弱性が報告されているという事実は、プラグインの入力値のサニタイズ（無害化処理）に構造的な課題がある可能性を示唆します。

今回の脆弱性発見と公表において重要な役割を担ったのが、JPCERT/CCを中心とした「情報セキュリティ早期警戒パートナーシップ」です。株式会社ラックのセキュリティ研究者がIPAへ報告し、JPCERT/CCが開発者との調整を担うという日本独自の協調的な情報開示（コーディネーテッド・ディスクロージャー）のプロセスが機能した事例といえます。このエコシステムは、脆弱性が修正されないまま攻撃者に悪用される「ゼロデイ攻撃」のリスクを低減する重要な仕組みです。

長期的な視点でみると、WordPressのプラグインエコシステム全体の課題にも目を向ける必要があります。WordPress自体は世界のWebサイトの約43%（2026年2月時点：42.8%）で使用されており、プラグインの品質と継続的なメンテナンスがサイト全体のセキュリティを左右します。今後、自動更新の活用やWAF（Webアプリケーションファイアウォール）の導入といった多層防御の考え方が、サイト運営者にはより一層求められるようになるでしょう。

【用語解説】

クロスサイトスクリプティング（XSS）／CWE-79
攻撃者がWebページに悪意あるスクリプトを埋め込み、閲覧したユーザーのブラウザ上で実行させる攻撃手法だ。CWE-79は、この脆弱性クラスに割り当てられた共通脆弱性タイプの識別番号である。

反射型XSS（Reflected XSS）
悪意あるスクリプトをURLやリクエストに仕込み、サーバーがそれをそのままページに「反射」して返すことで攻撃が成立するXSSの一形態だ。CVSSベクターの特性からこの種別が疑われる。ユーザーが攻撃者の用意したリンクをクリックすることで発動する。

CVSS（Common Vulnerability Scoring System：共通脆弱性評価システム）
脆弱性の深刻度を0〜10の数値で表す国際標準の評価システムだ。攻撃経路・攻撃の複雑さ・必要な権限・ユーザー操作の要否などを数値化し、優先的に対処すべき脆弱性を判断する基準となる。

CVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）
公開された脆弱性に一意の識別番号を付与する国際的なデータベースだ。「CVE-西暦-連番」の形式で採番され、世界中のセキュリティ組織が共通の識別子として参照する。

サニタイズ（入力値の無害化処理）
Webアプリケーションがユーザーからの入力データを受け取る際に、スクリプトとして解釈されうる特殊文字（<、>、”など）を無害な文字列に変換する処理だ。XSS対策の基本中の基本とされる。

セッションの乗っ取り
ユーザーがログイン中に発行される「セッションID」を攻撃者が盗み取り、本人に成りすまして操作を行う攻撃だ。XSSと組み合わせることで、管理者権限の奪取にも発展しうる。

ゼロデイ攻撃
脆弱性が公表・修正される前、開発者が対処できていない「ゼロ日目」の状態で行われる攻撃だ。情報開示と修正の協調プロセスが機能することで、このリスクを低減できる。

コーディネーテッド・ディスクロージャー（協調的な脆弱性開示）
脆弱性の発見者・報告機関・開発者が連携し、修正版の準備が整った段階で情報を公開するプロセスだ。攻撃者への情報流出を防ぎながら、利用者が安全にアップデートできる環境を整える。

WAF（Web Application Firewall：Webアプリケーションファイアウォール）
Webアプリへの通信を監視・フィルタリングし、XSSやSQLインジェクションなどの攻撃を遮断するセキュリティ機器・ソフトウェアだ。プラグインの修正が間に合わない場合の緊急対策としても有効である。

情報セキュリティ早期警戒パートナーシップ
2004年7月にIPA・JPCERT/CC・開発者が連携して構築した日本独自の脆弱性情報共有の枠組みだ。脆弱性の発見から報告・調整・公開までのプロセスを制度化し、国内のWebセキュリティの底上げに貢献している。

【参考リンク】

Ays Pro 公式サイト（外部）
Survey Makerを含むWordPress用プレミアムプラグインを開発・販売するAys Proの公式サイト。製品情報・ドキュメントも確認できる。

Survey Maker – WordPress.org 公式プラグインページ（外部）
WordPress公式プラグインディレクトリのSurvey Makerページ。バージョン履歴・更新情報・ユーザーレビューを確認できる。

JVN（Japan Vulnerability Notes）（外部）
JPCERT/CCとIPAが共同運営する国内脆弱性情報ポータルサイト。ソフトウェアの脆弱性情報と推奨対策を集約・公開している。

IPA 脆弱性対策情報（独立行政法人 情報処理推進機構）（外部）
経済産業省所管のIPA（情報処理推進機構）による脆弱性対策情報の専門ページ。企業・個人向けセキュリティ対策資料も提供している。

JPCERT/CC（一般社団法人 JPCERTコーディネーションセンター）（外部）
日本のサイバーセキュリティ対応の中核組織。脆弱性情報の開発者調整・JVN共同運営・セキュリティアラートの発信を担っている。

株式会社ラック（外部）
今回の脆弱性報告者・熊丸匠伍氏が所属する日本のサイバーセキュリティ企業。セキュリティ診断・監視・インシデント対応などを提供。

【参考動画】

【参考記事】

Survey Maker Plugin Vulnerability (CVE-2026-26370)（外部）
CVE-2026-26370の技術詳細・CVSSスコア・攻撃シナリオ・推奨対策を詳しく解説した英語のセキュリティ記事だ。

CVE-2026-26370 Detail – NVD（外部）
NISTが運営するNVDのCVE-2026-26370エントリー。CVSSベクター情報の国際標準フォーマットによる一次情報源だ。

WordPress Plugin “Survey Maker” vulnerable to cross-site scripting – JVN英語版（外部）
JVN公式の英語アドバイザリー。脆弱性の概要・影響バージョン・CVSSスコア・推奨対策を国際向けにまとめた一次情報源だ。

CVE-2025-48098 – WordPress Survey Maker plugin ≤ 5.1.8.8（外部）
Survey Maker旧版に発見されたStored XSS脆弱性（スコア7.1 / High）の詳細ページ。傾向分析の参考に。

CVE-2025-48098 – HIGH Severity (7.1)（外部）
CVE-2025-48098のCVSSスコア7.1（High）を記録した脆弱性情報サイト。編集部解説の数値確認に使用した。

How Many Websites Use WordPress? February 2026 Statistics（外部）
2026年2月時点のWordPress利用統計記事。世界のWebサイトの約42.8%で使用されているという数値の出典だ。

CVE-2023-2572 Security Vulnerability & Exploit Details（外部）
Survey Makerに2023年発見されたCVE-2023-2572（v3.0スコア6.1）の詳細。過去の脆弱性傾向確認に使用した。 

【編集部後記】

「自分のサイトには関係ない」と、つい後回しにしたくなるセキュリティの話題。でも今回のような脆弱性は、日常的に使うプラグインのすぐそこに潜んでいます。

みなさんがWordPressでお使いのプラグインは、最後にいつ確認しましたか？私たちも一緒に、足元を見直すきっかけにできたら嬉しいです。