WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/03/20-2025/03/26 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
プラグイン: WordPress Importer
| 対象製品 | WordPress Importer |
| 対象バージョン | 0.8.3までの全てのバージョン |
| 修正バージョン | 0.8.4 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 0.8.3までの全てのバージョンに、'maybe_unserialize'関数で信頼できない入力をデシリアライズすることにより、 PHP オブジェクトインジェクションの脆弱性が存在します。 攻撃者が管理者以上の権限を持つユーザーで認証済の場合に、PHPオブジェクトを挿入できます。 なお、このプラグイン単体にはPOPチェインはありません。つまり、ウェブサイトにPOPチェインを持つ他のプラグインやテーマが存在しない限り、この脆弱性の影響はありません。 もしも、他にインストールされたプラグインやテーマにPOPチェインが存在する場合、攻撃者はそのPOPチェインによっては任意のファイルを削除したり、機密性のデータを取得したり、PHPコードを実行したりすることができます。 |
| 対応方法 | 0.8.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2024-13889 |
| 公開日 | 2025-03-25 00:00:00 (2025-03-26 11:22:10更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5f0795f7-6eba-4ff0-b0da-5d2b544adf14 |
この脆弱性は 攻撃者が管理者以上の権限を持つユーザーで認証済の場合 に、任意のPHPオブジェクトを挿入できるものです。
なお、このプラグイン単体にはPOPチェインがないため、POPチェインを持つ他のプラグインやテーマをインストールしていない限りは影響がありません。
ログイン (認証) が必要な攻撃ですが、POPチェインの有無が不明な場合はアップデートが必要です。
POPチェインについては以前に解説していますので、そちらを参照ください。
他の脆弱性: 5件
プラグイン: Popup Builder
| 対象製品 | Popup Builder |
| 対象バージョン | 4.3.6までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、管理者が購読者の情報をCSVファイルでインポートした後に、機密情報を抜き出すすることができる。機密情報には、購読者の名前、姓、メールアドレスや他の個人を特定できる情報が含まれる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/086cd6a0-adb6-4e12-b34c-630297f036f3 |
プラグイン: WooCommerce
| 対象製品 | WooCommerce |
| 対象バージョン | 9.7.0までの全てのバージョン |
| 脆弱性概要 | ショップ運営者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される任意のウェブスクリプトをページに挿入できる。 これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5a69f51e-0bac-4b2e-8ad4-597c6fbbff83 |
プラグイン: Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder
| 対象製品 | Fluent Forms |
| 対象バージョン | 5.2.12までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、IPアドレスを詐称してIPアドレスベースの制限があるフォームを送信することが可能になる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e06fe8e4-e27a-4492-b175-3b0846e4cf10 |
プラグイン: LiteSpeed Cache
| 対象製品 | LiteSpeed Cache |
| 対象バージョン | 6.5.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e1b02e83-142f-48f8-88dd-994862d15376 |
プラグイン: TablePress – Tables in WordPress made easy
| 対象製品 | TablePress |
| 対象バージョン | 3.0.4までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e285849f-886e-49ba-bb43-8c67655fe239 |
総括
この期間内に報告された脆弱性6件のうち、2件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、4件とも少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。引き続き、ユーザーログインを強固にすることが重要です。
WordPress Importerの脆弱性は、管理者以上の権限を持つユーザーで認証済の場合にのみ影響を受けますが、WordPressのインポート作業そのものが管理者以上の権限が必要なものです。前回に解説した Cross-Site Request Forgery や Cross-Site Scripting を組み合わせることで、管理者に意図しないPOPオブジェクトを挿入させることもありえます。ただちにアップデートができなかったとしても、早めのアップデートを行うことを検討してください。
