WordPress安心診断 by MozCheck

[CVE-2025-12426] Quiz Maker の脆弱性について:何が起きて、何が問題で、どう対応すればよいのか

Written by

Yudai Tsuyuzaki

in

WordPress のクイズ作成プラグイン Quiz Maker において、バージョン 6.7.0.80 まで に「認証されていない状態で機密(正解/ 解答)情報が取得できてしまう可能性」が報告されました。

これは WordPress では時々発生する典型的な脆弱性の一つで、開発者が修正版を公開し、ユーザーがアップデートを適用することで解決できるタイプの問題です。

本記事では、この脆弱性で 何が起きていたのか、何が問題なのか、そして どう対応すればよいのか をわかりやすくまとめます。

プラグイン解説:Quiz Maker

Quiz Maker は、WordPress 上で「クイズ・テスト・アンケート」形式のコンテンツを簡単に作成できるプラグインです。公式 WordPress プラグインディレクトリにて、無料版および有料 (“Pro”) 版が提供されています。

Quiz Maker

作成可能なクイズ・テストの種類は多様で、たとえば知識チェック、性格診断、採点型テスト、トリビアなど多用途に対応しています。

主な機能

  • 無制限にクイズ・質問を作成可能。各クイズに対し質問数の制限もなし。
  • 質問タイプ:単一選択 (ラジオボタン)、複数選択 (チェックボックス)、ドロップダウン、テキスト入力、短文テキスト、数値入力、日付入力、穴埋め、マッチングなど。
  • クイズ埋め込み:
    ショートコード形式 [ays_quiz id=’quiz_id’] を用いて投稿・ページ・ウィジェット内に配置可能。
  • クイズのスタイル・設定カスタマイズ:質問・回答のランダム化、ページ表示形式、スコア表示設定、日時公開制限など、多数のオプションあり。
  • Pro版の機能拡張例:合格証の発行、決済連携(PayPal 等)、タイマー付きクイズ、リーダーボード、パスワード保護付きクイズなど。

どんな場面で使えるか

  • 教育サイト/eラーニング:
    知識テスト、模擬試験、入門チェックなど。
  • マーケティング/集客:
    性格診断クイズ、バズ系クイズ、メールアドレス取得を目的としたアンケート型クイズなど(Pro版で更に強化)
  • 社内研修・会員限定コンテンツ:
    ログインユーザー限定やパスワード保護機能を使って、限定配信型のテストを運用可能。

何が起きていたのか(脆弱性の概要)

Quiz Maker には、クイズの回答を判定するための AJAX エンドポイント(ays_quiz_check_answer)があります。

この機能は本来、判定結果のみを返却する実装が想定されます。

ところが、対象バージョンではこのエンドポイントの認証チェックが甘く、以下の問題がありました。

  • 回答者と管理者を切り分ける本来必要な権限チェックが行われない
  • ブラウザ側で取得できる nonce(ワンタイムトークン)が防御として十分でなかった
  • その結果、ログインしていない外部ユーザーでも、回答内容や正解情報などにアクセスできる可能性があった

つまり、アクセス制御の不備によって、クイズに関連する一部のデータが外部から閲覧できてしまう状態になっていた、というものです。

何が問題なのか

今回の脆弱性は サイト全体が乗っ取られるような深刻なものではありません。

ただし、次のようなケースでは問題となる可能性があります。

  • クイズの正解データが外部に見えてしまう
  • 回答内容に個人情報が含まれていた場合、その内容が漏れる可能性がある
  • 社内テスト・会員限定コンテンツとして利用している場合、出題の秘密保持が損なわれる

とはいえ、これは WordPress プラグインでは時々報告される “情報露出型” の典型的な脆弱性で、「アップデート によって問題が解消される」種類のものです。

どうすればいいのか(対応方法)

対応は非常にシンプルで、次の一つです。

✅ Quiz Maker を最新版にアップデートする

開発者側でこの脆弱性を修正済みのバージョンがすでに公開されています。
最新版に更新することで、この問題は解消されます。

追加で行うべきことは特にありませんが、もし機密性の高いクイズ(社内情報、個人情報を含むアンケート等)を扱っている場合には、念のため回答データを確認しておくと安心です。

WordPress では「脆弱性が報告 → 修正 → アップデート」という流れが標準

今回のような脆弱性が報告されると、WordPress プラグイン開発者やセキュリティ機関(Wordfence、WPScan など)が次の流れで対応していきます。

  1. 脆弱性の報告
  2. 開発者による修正
  3. 修正版プラグインの公開
  4. ユーザーがアップデートを適用
  5. 問題が解決され、安全に利用し続けられる

WordPress は多くのユーザーに支えられており、脆弱性が発見されても 改善され、更新され、より安全に使い続けられる仕組みが整っています。

まとめ:アップデートしていれば大丈夫

今回の Quiz Maker の脆弱性は、

  • 認証されていないユーザーがクイズ関連データを取得できてしまう可能性があった
  • すでに修正版が公開されている
  • 最新版に更新すれば問題は解決
  • WordPress では「脆弱性 → 修正 → アップデート」が通常の安全サイクル

という内容です。

WordPress を安全に保つうえで最も重要なのは、プラグイン・テーマ・本体を 常に最新の状態にしておくこと
これさえできていれば、多くの脆弱性は自動的に解決されます。

脆弱性情報まとめ

  • CVE 識別子:CVE‑2025‑12426
  • プラグイン/影響バージョン:Quiz Maker(WordPress プラグイン)バージョン 6.7.0.80 以下 が影響対象。
  • 脆弱性の種類:認証なし (“Unauthenticated”) の状態で機密情報 (“Sensitive Information”) が取得可能となる情報露出型。
  • CVSS スコア:5.3(“中”レベル)
  • 公表/登録日付:11月19日 2025年(NVD 登録日)
  • 修正済バージョン:バージョン 6.7.0.81 以降にて修正が行われているとされます。

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/quiz-maker/quiz-maker-67080-unauthenticated-sensitive-information-exposure

関連記事

  1. WordPressプラグインの脆弱性情報を解説: WP Project Manager < 2.6.17 - Authenticated (Subscriber+) SQL Injection [CVE-2024-12195]
  2. WordPressプラグイン「Simple Amazon Affiliate」のリフレクティッドXSS脆弱性(CVE-2025-2077)について解説
  3. 【CVE-2025-6994】「Reveal Listing」プラグインの脆弱性についてと、安心して使い続けるための対応方法
  4. CVE-2025-9519:Easy Timer でショートコードを悪用した Editor 権限の RCE 脆弱性を解説

投稿者

Yudai Tsuyuzaki

フリーランスのWeb系プログラマー。 長野県の北アルプス地方在住

🛠️ WordPressのトラブルでお困りですか?

ログインが出来ない・白画面・更新崩れなどの緊急トラブルは、
「WordPress保守サービス」で即対応いたします。

今すぐ依頼する

🧰 WordPress無料診断

サイト改善の第一歩をお届け

当サイト「MozCheck」は、WordPressサイトの不安をチェックできる無料診断サービスです。
URLを入力するだけ。登録不要、すぐに診断結果が表示されます。

無料で診断する

コメント

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


More posts