WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/03/27-2025/04/02 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 0件
なし
他の脆弱性: 6件
プラグイン: ElementsKit Elementor Addons and Templates
| 対象製品 | ElementsKit Elementor Addons and Templates |
| 対象バージョン | 3.4.7までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/35969379-e668-4045-8de7-696f196ba5b0 |
プラグイン: Photo Gallery by 10Web
| 対象製品 | Photo Gallery by 10Web |
| 対象バージョン | 1.8.32までの全てのバージョン |
| 脆弱性概要 | 管理者者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/66fd9aa4-c8ec-42d6-b03a-7534d964e38f |
プラグイン: LuckyWP Table of Contents
| 対象製品 | LuckyWP Table of Contents |
| 対象バージョン | 2.1.10までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、管理者にリンクをクリックさせることで、偽のリクエストを使って任意のウェブスクリプトをページに挿入することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/82df5b2e-4c4a-402f-99c9-694fa710009b |
プラグイン: Advanced Google reCAPTCHA
| 対象製品 | Advanced Google reCAPTCHA |
| 対象バージョン | 1.29までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、特にプラグインの設定ページを開いたことがなく、かつ、「welcome message」を消していない場合、既存のSQLクエリーに追加のSQLクエリーを付加することで機密情報をデータベースから抜き出すことを可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/963a9b30-9194-4abc-aa69-eb333cbddef3 |
プラグイン: Responsive Lightbox & Gallery
| 対象製品 | Responsive Lightbox & Gallery |
| 対象バージョン | 2.4.8までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d99d4b9a-aa09-434d-91a8-7afaa0e8b5db |
この脆弱性は、プラグインが同梱するJavaScriptライブラリ FancyBox 1.3.4 から 3.5.7 に存在する脆弱性によるものです。
プラグイン: Firelight Lightbox
| 対象製品 | Firelight Lightbox |
| 対象バージョン | 2.3.3までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d99d4b9a-aa09-434d-91a8-7afaa0e8b5db |
この脆弱性は、プラグインが同梱するJavaScriptライブラリ FancyBox 1.3.4 から 3.5.7 に存在する脆弱性によるものです。
総括
この期間内に報告された脆弱性は6件のうち、1件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、5件とも少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。引き続き、ユーザーログインを強固にすることが重要です。
Advanced Google reCAPTCHA の脆弱性は、WordPressの管理画面において、プラグインの設定ページを開いたことがなく、かつ、「welcome message」を消していない場合に影響を受けます。インストールしたプラグインに設定ページなどが存在する場合は、必ず設定に目を通すことが必要です。
また、 Responsive Lightbox & Gallery および Firelight Lightbox の脆弱性は、プラグインが同梱している JavaScriptライブラリ FancyBox の脆弱性によるものでした。FancyBoxは画像のモーダル表示やポップアップに利用されるJavaScriptライブラリです。該当するWordPressのプラグインとして使っていなくても、Web制作の一環でJavaScriptライブラリを利用している場合があるかもしれません。こういったJavaScriptライブラリに起因する脆弱性情報が出た際には、他で同じJavaScriptライブラリを使っている環境がないか、横展開することをお勧めします。
