- SERVICE
セキュアな Web サイト制作サービス
- WORKS
- ABOUT US
- NEWS & COLUMN
- IR
- RECRUIT
皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。
本記事は、WooPaymentsのバージョンと脆弱性への対応状況について、2026年6月19日に執筆したものです。
WooPaymentsは、WooCommerceストア向けの公式決済プラグインであり、WooCommerce Ireland Ltd.(脆弱性情報・JVNのベンダ名:Automattic Inc.)によって開発・サポートされています。
WordPressのPlugin Directoryの統計情報によると、アクティブインストールは90万以上、総ダウンロード数4359万回以上を計測しており、世界でも有名なプラグインの一つと言ってよいでしょう。
一方で、人気が高いほど攻撃対象になるリスクもあるため、脆弱性への適切な対応が重要になります。
この記事では、企業のWeb担当の皆様に向けて、WooPaymentsの概要並びに、脆弱性及びその対応状況をご紹介することで、WooPayments自体については安心して使用していただけるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
WooPaymentsとは
前述の通り、WooPaymentsはWooCommerceストア向けの公式決済プラグインであり、初期費用、月額費用なしで導入でき、カード、地域別決済、デジタルウォレット等を自店舗のチェックアウトに組み込むことができます(プラグインの利用は無料ですが、決済手数料は発生します)。
無料版でも初期費用、月額費用なしで始めることができること、多通貨、Apple Pay、Google Pay、BNPLなど成長後に使いたい機能まで備えていること、ユーザーが外部ページへ移動せず支払えるため、購入体験を損ねにくいことから、人気のあるプラグインとなっています。
一方で、利用者の多いプラグインは、攻撃のターゲットにされる可能性があるため、当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントにお勧めしていません。
WooPaymentsについては、定期的にバージョンアップされており、かつ2026年6月19日現在においては、重大な脆弱性が未修正のまま放置されている状況ではないことから、最新バージョンを使用している限りにおいては、セキュリティ面でのリスクは少ないと判断しています。
WooPaymentsのバージョン情報に関するポイント
WooPaymentsでは、一般的なセマンティックバージョニングに近いバージョニングが採用されているようです。
3つの数字の左から「メジャーバージョン.マイナーバージョン.パッチバージョン」となります。
2026年6月19日現在、WooPaymentsの最新バージョンは10.8.0であり、WordPress 7.0までテストされています。
通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)は最新パッチバージョンのみを対象としており、WooPaymentsでも同様の対応が行われていると考えられます。
WooPaymentsは過去CVE-2023-28121などの脆弱性に対してバックポートを提供した履歴がありますが、パフォーマンス向上およびセキュリティ対策の観点から、常に最新のマイナーバージョンへのアップデートを推奨いたします。
WooPaymentsのバージョン情報
2026年6月19日現在での、WooPaymentsのバージョン情報は次の通りです。
| バージョン | リリース日 | サポート期限 | 修正された脆弱性 |
| 10.8.0 | 2026年5月20日 | サポート中 | - |
| 10.7.1 | 2026年4月16日 | 2026年5月20日 | - |
| 10.7.0 | 2026年4月15日 | 2026年4月16日 | - |
| 10.6.0 | 2026年3月11日 | 2026年4月15日 | CVE-2026-1710 |
| 10.5.1 | 2026年2月11日 | 2026年3月11日 | - |
| 6.7.0 | 2023年11月1日 | 2023年11月3日 | CVE-2023-51503 |
| 6.5.0 | 2023年9月21日 | 2023年9月26日 | CVE-2023-49828 |
| 5.9.1 | 2023年6月5日 | 2023年6月8日 | CVE-2023-35916 CVE-2023-35915 |
| 5.6.2, 5.5.2, 5.4.1, 5.3.1, 5.2.2, 5.1.3, 5.0.4, 4.9.1, 4.8.2 | 2023年3月23日 | 2023年4月5日 | CVE-2023-28121 |
| 4.9.0 | 2022年10月20日 | 2022年11月9日 | WPScan |
| 4.5.1, 4.4.1, 4.3.1, 4.2.2, 4.1.1, 4.0.3, 3.9.4 | 2022年8月8日 | 2022年8月18日 | Wordfence |
※上記の内容は、WordPress公式開発ログの情報を正として、バージョン10.5.1までを掲載しています。また、10.5.1以前のバージョンについては、下記脆弱性が修正されたバージョンを追記しています。
※バージョン10.5.1以下には既知の脆弱性が存在するため、グレーにしています。
WooPaymentsの脆弱性情報
WooPaymentsの最新バージョンは10.8.0であり、当社が把握している全ての脆弱性に修正対応済みとなっています。
また、WooPayments 10.5.1以下のバージョンをご使用の場合には、既知の脆弱性が存在する可能性がありますので、最新バージョンへとアップデートをしてください。
なお、WooPayments自体に関する脆弱性情報で、当社が把握しているものは次の通りです。
| 脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
|
CVE-2026-1710 CVE-2026-1710 Detail |
CVSS v3 6.5 (警告) |
・WooPayments 10.5.1までのバージョン | ・WooPayments 10.6.0 |
|
CVE-2023-51503 JVNDB-2023-024300 |
CVSS v3 7.5 (重要) |
・WooPayments 6.6.2までのバージョン | ・WooPayments 6.7.0 |
|
CVE-2023-49828 CVE-2023-49828 Detail |
CVSS v3 5.4 (警告) |
・WooPayments 6.4.2までのバージョン | ・WooPayments 6.5.0 |
|
CVE-2023-35916 JVNDB-2023-024437 |
CVSS v3 7.5 (重要) |
・WooPayments 5.9.0までのバージョン | ・WooPayments 5.9.1 |
|
CVE-2023-35915 JVNDB-2023-024438 |
CVSS v3 9.8 (緊急) |
・WooPayments 5.9.0までのバージョン | ・WooPayments 5.9.1 |
|
CVE-2023-28121 JVNDB-2023-008422 |
CVSS v3 9.8 (緊急) |
・WooPayments 5.6.0 から 5.6.1 までのバージョン ・WooPayments 5.5.0 から 5.5.1 までのバージョン ・WooPayments 5.4.0 ・WooPayments 5.3.0 ・WooPayments 5.2.0 から 5.2.1 までのバージョン ・WooPayments 5.1.0 から 5.1.2 までのバージョン ・WooPayments 5.0.0 から 5.0.3 までのバージョン ・WooPayments 4.9.0 ・WooPayments 4.8.0 から 4.8.1 までのバージョン |
・WooPayments 5.6.2 ・WooPayments 5.5.2 ・WooPayments 5.4.1 ・WooPayments 5.3.1 ・WooPayments 5.2.2 ・WooPayments 5.1.3 ・WooPayments 5.0.4 ・WooPayments 4.9.1 ・WooPayments 4.8.2 |
| WPScan | CVSS v3 5.4 (警告) |
・WooPayments 4.8.1までのバージョン | ・WooPayments 4.9.0 |
| Wordfence | CVSS v3 5.3 (警告) |
・WooPayments 4.5.0 ・WooPayments 4.4.0 ・WooPayments 4.3.0 ・WooPayments 4.2.0から4.2.1までのバージョン ・WooPayments 4.1.0 ・WooPayments 4.0.0から4.0.2までのバージョン ・WooPayments 3.9.0から3.9.3までのバージョン |
・WooPayments 4.5.1 ・WooPayments 4.4.1 ・WooPayments 4.3.1 ・WooPayments 4.2.2 ・WooPayments 4.1.1 ・WooPayments 4.0.3 ・WooPayments 3.9.4 |
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)に準拠していますが、NVDにてスコアリングされていない場合には、Wordfence(Wordfenceに情報がなければWPScan)のスコアに準拠しています。
※CVE-2023-28121の影響範囲については、JVNとCVE、NVD、Wordfenceとに差異がありますが、NVDを見ると、Descriptionでは“versions 5.6.1 and lower”と記載しているものの、Known Affected Software Configurationsでは、JVNと同様に個別に記載しており、WooCommerce公式も個別に記載していることから、“versions 5.6.1 and lower”は簡略した記載と解釈し、個別記載の方で掲載しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。
WooPaymentsのバージョンアップを継続する体制について
前述のように、WooPaymentsは世界的に有名なプラグインであり、Web制作の現場でWordPressを利用する場合には、よくお世話になるプラグインです。
しかしながら、WooPayments自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、サーバーの設定が複雑であるなどの問題に直面することもあるかと思います。
taneCREATIVE株式会社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、WordPressはもちろんのこと、PHP、MySQL、MariaDB、各種サーバーについてもノウハウを有しています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
- この記事を書いた存在
- 管理人
- 本業はWebコンサルタントという名の何でも屋。
世間はワールドカップで盛り上がっておりますが、サイバー攻撃も増えており…安心して楽しめません…。
2026年6月19日執筆
