WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/04/10-2025/04/16 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
プラグイン: Ultimate Member
| 対象製品 | Ultimate Member |
| 対象バージョン | 2.10.1までの全てのバージョン |
| 修正バージョン | 2.10.2 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 2.10.1までの全てのバージョンに、ユーザーが提供したパラメータのエスケープと既存の SQL クエリの事前処理が不十分であるために、search パラメータを経由したブラインド SQL インジェクションの脆弱性が存在します。 認証されていない攻撃者が、既存のSQLクエリーに追加のSQLクエリーを付加することで機密情報をデータベースから抜き出すことを可能となります。 この脆弱性は CVE-2025-0308 に対応するために、2.9.2で部分的に修正されています。 |
| 対応方法 | 2.10.2 以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-1702 |
| 公開日 | 2025-04-16 00:00:00 (2025-04-16 21:28:15更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8f539e25-5483-417d-a3c5-e7034c03c673 |
この脆弱性は 認証していない攻撃者 が機密情報をデータベースから抜き出すことが可能となるものです。
既存のSQLクエリーに追加クエリーを付加することで、攻撃者は間接的にデータを参照する ブラインドSQLインジェクション によりデータを取得します。
限定的な方法ではあるものの、認証していない攻撃者による機密情報の取得が可能である点から、早急なアップデートが必要です。
以前にこのプラグインで見つかっている脆弱性の適用範囲がより広がったものになります。
ブラインドSQLインジェクションとは、SQLクエリーの中に本来入れるべき値に代えて条件を入れることで値を推測して任意のデータを取得する攻撃です。以前に解説した time-based SQL インジェクション はブラインドSQLインジェクションの1つです。
他の脆弱性: 8件
プラグイン: Password Protected
| 対象製品 | Password Protected |
| 対象バージョン | 2.7.7までの全てのバージョン |
| 脆弱性概要 | 'Use Transient'が有効化されているとき、認証していない攻撃者が保護されているサイトのすべてのコンテンツを含む機密データを抜き出すことが可能になる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/241d75ca-55e3-461a-9844-52e69904da1b |
プラグイン: Contact Form 7
| 対象製品 | Contact Form 7 |
| 対象バージョン | 6.0.5までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、1つのStripe Payment Intentを複数のトランザクションに再利用することが可能になる。Stripe経由で処理されるのは最初のトランザクションだけだが、プラグインは各トランザクションに成功したメッセージを電子メールで送信するため、管理者を騙して各オーダーを処理させることができる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/38257dbf-288e-4028-af65-85f5389888ac |
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.42.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5039d63b-377d-435a-be31-4ae81ea30dd3 |
プラグイン: Ally
| 対象製品 | Ally |
| 対象バージョン | 3.1.0までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/57a7a8cc-6a59-4e92-8e14-36e2550b0f51 |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.4.0までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、許可されていない場所にHTMLを挿入することができる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c191da68-d531-4c01-a364-2621c822dc80 |
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.42.0までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、1つのStripe Payment Intentを複数のトランザクションに再利用することが可能になる。Stripe経由で処理されるのは最初のトランザクションだけだが、プラグインは各トランザクションに成功したメッセージを電子メールで送信するため、管理者を騙して各オーダーを処理させることができる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c873c04e-516e-41ee-a295-b8c5235abc1b |
プラグイン: Photo Gallery by 10Web
| 対象製品 | Photo Gallery by 10Web |
| 対象バージョン | 1.8.34までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、管理者にリンクをクリックさせることで、偽のリクエストを使って任意のウェブスクリプトをページに挿入することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ce261415-870c-4300-85e8-b15a02c7eec5 |
プラグイン: Fluent Forms
| 対象製品 | Fluent Forms |
| 対象バージョン | 6.0.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f31bd18e-57d4-4c87-8a7c-a168e7e70061 |
総括
この期間内に報告された脆弱性9件のうち、6件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、3件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。今回は限定的な条件の元ではあるものの、誰でも攻撃できる脆弱性が多く見つかりました。
Contact Form 7 はWordPress.orgによると1000万件のアクティブなインストールがあり、多くのサイトで利用されているプラグインです。Contact Form 7とStripeのインテグレーションを利用している場合に影響がある脆弱性のため、Stripeを合わせて利用している場合はアップデートが必要です。また、Stripeを利用していない場合でも、可能であればアップデートすることを検討してください。
同様の脆弱性が Forminator Forms でも報告されています。このように1つのプラグインで脆弱性が見つかった場合には、同様の処理を行っている他のプラグインでも合わせて報告されることがあります。横展開を行い、合わせてテーマ・プラグインを最新に保つようにしましょう。
