WordPress テーマ・プラグイン 脆弱性情報のまとめ(2025/03/27-2025/04/02)

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

  • 期間: 2025/03/27-2025/04/02 に報告があったもの
  • 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
    • WordPress.orgにおける "Active installations" が 10万 以上である
    • 日本語の翻訳に対応している

深刻度が高い脆弱性: 0件

なし

他の脆弱性: 6件

プラグイン: ElementsKit Elementor Addons and Templates

対象製品ElementsKit Elementor Addons and Templates
対象バージョン3.4.7までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/35969379-e668-4045-8de7-696f196ba5b0

プラグイン: Photo Gallery by 10Web

対象製品Photo Gallery by 10Web
対象バージョン1.8.32までの全てのバージョン
脆弱性概要管理者者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/66fd9aa4-c8ec-42d6-b03a-7534d964e38f

プラグイン: LuckyWP Table of Contents

対象製品LuckyWP Table of Contents
対象バージョン2.1.10までの全てのバージョン
脆弱性概要認証していない攻撃者が、管理者にリンクをクリックさせることで、偽のリクエストを使って任意のウェブスクリプトをページに挿入することが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/82df5b2e-4c4a-402f-99c9-694fa710009b

プラグイン: Advanced Google reCAPTCHA

対象製品Advanced Google reCAPTCHA
対象バージョン1.29までの全てのバージョン
脆弱性概要購読者以上の権限を持つユーザーで認証済の場合に、特にプラグインの設定ページを開いたことがなく、かつ、「welcome message」を消していない場合、既存のSQLクエリーに追加のSQLクエリーを付加することで機密情報をデータベースから抜き出すことを可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/963a9b30-9194-4abc-aa69-eb333cbddef3

プラグイン: Responsive Lightbox & Gallery

対象製品Responsive Lightbox & Gallery
対象バージョン2.4.8までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/d99d4b9a-aa09-434d-91a8-7afaa0e8b5db

この脆弱性は、プラグインが同梱するJavaScriptライブラリ FancyBox 1.3.4 から 3.5.7 に存在する脆弱性によるものです。

プラグイン: Firelight Lightbox

対象製品Firelight Lightbox
対象バージョン2.3.3までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/d99d4b9a-aa09-434d-91a8-7afaa0e8b5db

この脆弱性は、プラグインが同梱するJavaScriptライブラリ FancyBox 1.3.4 から 3.5.7 に存在する脆弱性によるものです。

総括

この期間内に報告された脆弱性は6件のうち、1件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、5件とも少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。引き続き、ユーザーログインを強固にすることが重要です。

Advanced Google reCAPTCHA の脆弱性は、WordPressの管理画面において、プラグインの設定ページを開いたことがなく、かつ、「welcome message」を消していない場合に影響を受けます。インストールしたプラグインに設定ページなどが存在する場合は、必ず設定に目を通すことが必要です。

また、 Responsive Lightbox & Gallery および Firelight Lightbox の脆弱性は、プラグインが同梱している JavaScriptライブラリ FancyBox の脆弱性によるものでした。FancyBoxは画像のモーダル表示やポップアップに利用されるJavaScriptライブラリです。該当するWordPressのプラグインとして使っていなくても、Web制作の一環でJavaScriptライブラリを利用している場合があるかもしれません。こういったJavaScriptライブラリに起因する脆弱性情報が出た際には、他で同じJavaScriptライブラリを使っている環境がないか、横展開することをお勧めします。

WordPress Security Advisoryはメールでも配信しています。
こちらからお申し込みください:https://www.prime-strategy.co.jp/mail-magazine/

超高速CMS実行環境 KUSANAGI
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.