WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/04/03-2025/04/09 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 2件
プラグイン: Advanced Order Export For WooCommerce
| 対象製品 | Advanced Order Export For WooCommerce |
| 対象バージョン | 3.6.0までの全てのバージョン |
| 修正バージョン | 4.0.1 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 3.6.0までの全てのバージョンに、空白文字を利用してXML構造を修正することで、XLSXリーダーでXXE攻撃を防ぐセキュリティ・スキャナを回避できる脆弱性が存在します。 ユーザーが自分のExcel (XLSX) シートをアップロードできるサーバーでは、細工されたシートを提供することによって、サーバーファイルや機密情報が開示される可能性があります。 |
| 対応方法 | 4.0.1以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2024-45293 |
| 公開日 | 2024-10-07 00:00:00 (2025-04-07 18:19:55更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/38f950b7-e3a0-4e05-a8b0-9cc6b6c66b0c |
この脆弱性は、ユーザーが自分のエクセル (XLSX) シートをアップロードできるサーバーでは、細工されたシートを提供することによって、サーバーファイルや機密情報が開示される可能性があるものです。
アップロードには一般的に権限が必要となりますが、認証していない攻撃者のアップロードが許可されていないか確認が必要です。
XXE攻撃とはXML External Entity (XML外部エンティティ) 攻撃の略です。XMLでは外部エンティティへURIで参照したドキュメントを定義することができます。これを利用することで、攻撃者が外部エンティティのURIに悪意のあるスクリプトを含む外部のパスや、機密情報が含まれるサーバーのファイルを指定することで、機密情報を参照できるようになります。
プラグインが同梱するPHPライブラリ PhpSpreadsheet 1.29.1未満の全てのバージョン、2.0.0から2.1.1未満の全てのバージョン、2.2.0から2.3.0未満の全てのバージョンに存在する脆弱性によるものです。
プラグイン: TablePress
| 対象製品 | TablePress |
| 対象バージョン | 2.4.2までの全てのバージョン |
| 修正バージョン | 2.4.3 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 2.4.2までの全てのバージョンに、空白文字を利用してXML構造を修正することで、XLSXリーダーでXXE攻撃を防ぐセキュリティ・スキャナを回避できる脆弱性が存在します。 ユーザーが自分のExcel (XLSX) シートをアップロードできるサーバーでは、細工されたシートを提供することによって、サーバーファイルや機密情報が開示される可能性があります。 |
| 対応方法 | 2.4.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2024-45293 |
| 公開日 | 2024-10-07 00:00:00 (2025-04-07 18:19:55更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/38f950b7-e3a0-4e05-a8b0-9cc6b6c66b0c |
この脆弱性は、ユーザーが自分のエクセル (XLSX) シートをアップロードできるサーバーでは、細工されたシートを提供することによって、サーバーファイルや機密情報が開示される可能性があるものです。
アップロードには一般的に権限が必要となりますが、認証していない攻撃者のアップロードが許可されていないか確認が必要です。
XXE攻撃については上の説明を参照してください。
プラグインが同梱するPHPライブラリ PhpSpreadsheet 1.29.1未満の全てのバージョン、2.0.0から2.1.1未満の全てのバージョン、2.2.0から2.3.0未満の全てのバージョンに存在する脆弱性によるものです。
他の脆弱性: 8件
プラグイン: Pods
| 対象製品 | Pods |
| 対象バージョン | 3.2.8.1までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/43b59e94-047e-4bdf-abe1-538f2f043ffe |
プラグイン: Enable Media Replace
| 対象製品 | Enable Media Replace |
| 対象バージョン | 4.1.5までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、ユーザーにリンクをクリックさせることで、偽のリクエストを使って任意のウェブスクリプトをページに挿入することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/54c79532-588d-4afd-ad01-199b5c4ce4d0 |
プラグイン: Smush Image Optimization
| 対象製品 | Smush Image Optimization |
| 対象バージョン | 3.17.0までの全てのバージョン |
| 脆弱性概要 | 管理者者以上の権限を持つユーザーで認証済の場合に、意図されたディレクトリの外のファイルを操作することがで可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5d4c92dd-a605-42b5-af10-0a0e25461dde |
プラグイン: Photo Gallery by 10Web
| 対象製品 | Photo Gallery by 10Web |
| 対象バージョン | 1.8.33までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6d849f5a-f013-4b1d-b606-c7efefdfaca5 |
プラグイン: LuckyWP Table of Contents
| 対象製品 | LuckyWP Table of Contents |
| 対象バージョン | 2.1.10までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、管理者にリンクをクリックさせることで、偽のリクエストを使って任意のウェブスクリプトをページに挿入することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/82df5b2e-4c4a-402f-99c9-694fa710009b |
プラグイン: Slider, Gallery, and Carousel by MetaSlider
| 対象製品 | Slider, Gallery, and Carousel by MetaSlider |
| 対象バージョン | 3.94.0までの全てのバージョン |
| 脆弱性概要 | 管理者者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/af343eab-8327-4b13-91b9-f58535014d47 |
プラグイン: Broken Link Checker by AIOSEO
| 対象製品 | Broken Link Checker by AIOSEO |
| 対象バージョン | 1.2.3までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、既存のSQLクエリーに追加のSQLクエリーを付加することで機密情報をデータベースから抜き出すことを可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ce2d582e-4f50-4b55-9f3b-3c46d96c0927 |
プラグイン: Import any XML, CSV or Excel File to WordPress
| 対象製品 | Import any XML, CSV or Excel File to WordPress |
| 対象バージョン | 3.8.0までの全てのバージョン |
| 脆弱性概要 | 同梱しているPHPライブラリ PHPExcel に脆弱性が確認されてる。脆弱性の利用した攻撃は確認されていないが、更新が推奨される。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d88a5dfc-4654-4299-b5a5-2a48b3823e37 |
この脆弱性は、プラグインが同梱するPHPライブラリ PHPExcel 1.8.0未満の全てのバージョンに存在する脆弱性によるものです。
総括
この期間内に報告された脆弱性10件のうち、3件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、4件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。なお、3件はプラグインが同梱しているライブラリの脆弱性によるもので、具体的に必要な権限が明記されていません。いずれもファイルのアップロードが必要なため一般的に権限が必要となりますが、認証していない攻撃者によるファイルのアップロードが可能となっていないか確認が必要です。
Advanced Order Export For WooCommerce および TablePress の脆弱性は、プラグインが同梱している PHPライブラリ PhpSpreadsheet によるものでした。PhpSpreadsheetはExcel (XSLX) ファイルの解析に利用されるPHPライブラリです。該当するWordPressのプラグインとして使っていなくても、PHPのComposerなどからPHPライブラリをインストールしている場合があるかもしれません。PHPライブラリに起因する脆弱性情報が出た際には、他で同じPHPライブラリを使っている環境がないか、横展開することをお勧めします。
また、Import any XML, CSV or Excel File to WordPress の脆弱性は、同様にプラグインが同梱している PHPライブラリ PHPExcel によるものでした。上記のPhpSpreadsheetよりも古いPHPライブラリで、現在はメンテナンスもされていません。この脆弱性を利用した攻撃は確認されていないため、深刻度は低いものの、更新が推奨されています。
PHPのプロジェクトではComposerなどからPHPのライブラリを複数インストールして利用することがあります。この機会に利用しているPHPライブラリが最新のものに更新されているか、メンテナンスが終了したPHPライブラリを使用し続けていないか、確認を行ってください。
