何が起きたか
WooCommerce ストア向けに AI による意味論的製品検索を提供するプラグインである Motive Commerce Search(WooCommerce 用 AI Product Search)は、バージョン 1.38.2 までを含む複数のバージョンで認証なしの不正アクセス制御脆弱性を含んでいます。2026 年 6 月 15 日に公開されました(CVSS 8.2 HIGH)。リモート認証なしの攻撃者がプラグインの制限された機能にアクセスできます。
なぜ重要か
e コマース用の AI 搭載検索プラグインは、機密検索インデックスデータ、製品カタログを扱うことが多く、外部 AI 検索サービスの API キーを保存する場合があります。認証なしのアクセス制御バイパスにより、検索設定や顧客クエリ履歴が公開されたり、AI 検索インデックスが操作されて詐欺的または悪意のある製品結果がショッパーに提供される可能性があります。
攻撃経路
認証なしのリモート攻撃者は、プラグインのエンドポイント内の不正または実装が不十分なアクセス制御チェックを悪用して、認証情報なしで AI 検索エンジンの制限された管理機能または構成機能を呼び出します。
影響を受けるシステム
WooCommerce 用 AI Product Search – Motive Commerce Search ≤ 1.38.2
緩和策
Motive Commerce Search をバージョン 1.38.3 以降に更新してください。勧告: https://patchstack.com/database/wordpress/plugin/motive-commerce-search/vulnerability/wordpress-ai-product-search-for-woocommerce-motive-commerce-search-plugin-1-38-2-broken-access-control-vulnerability