何が起きたか
WooCommerce用のAI搭載セマンティック製品検索を提供するプラグインであるMotive Commerce Search (AI Product Search for WooCommerce) は、バージョン1.38.2までの認証されていない不正なアクセス制御脆弱性を含んでいます。2026年6月15日に公開 (CVSS 8.2 HIGH)。リモート認証なし攻撃者がプラグインの制限された機能にアクセスできます。
なぜ重要か
AI搭載の電子商取引検索プラグインは、機密の検索インデックスデータ、製品カタログを処理することが多く、外部AI検索サービスのAPIキーを保存する可能性があります。認証されていないアクセス制御バイパスにより、検索設定、顧客クエリ履歴が露出する可能性があり、またはAI検索インデックスを操作して詐欺的または悪意のある製品結果を買い手に配信することを許可する可能性があります。
攻撃経路
認証されていないリモート攻撃者がプラグインのエンドポイント内の欠落または不適切に実装されたアクセス制御チェックを悪用して、認証情報なしでAI検索エンジンの制限された管理機能または構成機能を呼び出します。
影響を受けるシステム
AI Product Search for WooCommerce – Motive Commerce Search ≤ 1.38.2
緩和策
Motive Commerce Searchをバージョン1.38.3以降に更新してください。アドバイザリ: https://patchstack.com/database/wordpress/plugin/motive-commerce-search/vulnerability/wordpress-ai-product-search-for-woocommerce-motive-commerce-search-plugin-1-38-2-broken-access-control-vulnerability