JVNDB-2026-006621

ibericode BVのWordPress用Koko Analytics - Privacy+Friendly statistics for WordPressにおけるSQL インジェクションの脆弱性

Koko AnalyticsはWordPress用のオープンソースの解析プラグインです。バージョン2.1.3より前のバージョンには、エスケープされていない解析データのエクスポートやインポート、および権限の緩い管理者によるSQLインポートを通じて任意のSQLを実行される脆弱性が存在します。認証されていない訪問者は、src/Resources/functions/collect.phpの公開トラッキングエンドポイントに任意のパス（`pa`）およびリファラ（`r`）の値を送信でき、これらの文字列はそのまま解析テーブルに格納されます。src/Admin/Data_Export.phpの管理者用エクスポートロジックは、これらの格納値をエスケープせずに直接SQLのINSERTステートメントに書き込みます。例えば、"'),('999','x');DROP TABLE wp_users;--"のような細工されたパスは値リストから抜け出します。管理者がそのエクスポートファイルを後でインポートすると、src/Admin/Data_Import.phpのインポートハンドラはアップロードされたSQLをfile_get_contentsで読み込み、表面的なヘッダーチェックだけを実施し、セミコロンで分割したそれぞれのステートメントを$table-queryでテーブル名やステートメントの種類を検証せずに実行します。加えて、manage_koko_analytics権限を持つ任意の認証ユーザーは任意の.sqlファイルをアップロードして同様に実行させることが可能です。これらを組み合わせることで、攻撃者が制御する入力がトラッキングエンドポイントからエクスポートされたSQLに流れ込み、インポート実行の経路を通じて、または悪意のあるアップロードを経由して直接任意のSQLを実行できるようになります。最悪の場合、攻撃者はWordPressのデータベースに対して任意のSQLを実行し、コアテーブル（例: wp_users）の削除、バックドア管理者アカウントの挿入、その他の破壊的または権限昇格的な行動を行うことができます。本問題はバージョン2.1.3で修正されました。

ibericode BV

• Koko Analytics - Privacy+Friendly statistics for WordPress 2.1.3 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Arbitrary SQL execution through unescaped analytics export/import and permissive admin SQL import  Advisory  ibericode/koko-analytics  GitHub

1. SQLインジェクション(CWE-89) [その他]

1. CVE-2026-22850

1. National Vulnerability Database (NVD) : CVE-2026-22850
2. 関連文書 : [data import/export] escape path and url values  ibericode/koko-analytics@7b7d58f  GitHub
3. 関連文書 : Koko Analytics Unauth SQLI.pdf - Google ドライブ

• [2026年03月11日]
    掲載