WordPress テーマ・プラグイン 脆弱性情報のまとめ（2025/04/10-2025/04/16）

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

• 期間: 2025/04/10-2025/04/16 に報告があったもの
• 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
  • WordPress.orgにおける "Active installations" が 10万 以上である
  • 日本語の翻訳に対応している

深刻度が高い脆弱性: 1件

プラグイン: Ultimate Member

対象製品	Ultimate Member
対象バージョン	2.10.1までの全てのバージョン
修正バージョン	2.10.2
CVSS	高 (7.5)
脆弱性概要	2.10.1までの全てのバージョンに、ユーザーが提供したパラメータのエスケープと既存の SQL クエリの事前処理が不十分であるために、search パラメータを経由したブラインド SQL インジェクションの脆弱性が存在します。 認証されていない攻撃者が、既存のSQLクエリーに追加のSQLクエリーを付加することで機密情報をデータベースから抜き出すことを可能となります。 この脆弱性は CVE-2025-0308 に対応するために、2.9.2で部分的に修正されています。
対応方法	2.10.2 以降にアップデートする
CVE	https://www.cve.org/CVERecord?id=CVE-2025-1702
公開日	2025-04-16 00:00:00 (2025-04-16 21:28:15更新)
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/8f539e25-5483-417d-a3c5-e7034c03c673

この脆弱性は 認証していない攻撃者 が機密情報をデータベースから抜き出すことが可能となるものです。
既存のSQLクエリーに追加クエリーを付加することで、攻撃者は間接的にデータを参照する ブラインドSQLインジェクション によりデータを取得します。
限定的な方法ではあるものの、認証していない攻撃者による機密情報の取得が可能である点から、早急なアップデートが必要です。
以前にこのプラグインで見つかっている脆弱性の適用範囲がより広がったものになります。

ブラインドSQLインジェクションとは、SQLクエリーの中に本来入れるべき値に代えて条件を入れることで値を推測して任意のデータを取得する攻撃です。以前に解説した time-based SQL インジェクション はブラインドSQLインジェクションの1つです。

他の脆弱性: 8件

プラグイン: Password Protected

対象製品	Password Protected
対象バージョン	2.7.7までの全てのバージョン
脆弱性概要	'Use Transient'が有効化されているとき、認証していない攻撃者が保護されているサイトのすべてのコンテンツを含む機密データを抜き出すことが可能になる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/241d75ca-55e3-461a-9844-52e69904da1b

プラグイン: Contact Form 7

対象製品	Contact Form 7
対象バージョン	6.0.5までの全てのバージョン
脆弱性概要	認証していない攻撃者が、1つのStripe Payment Intentを複数のトランザクションに再利用することが可能になる。Stripe経由で処理されるのは最初のトランザクションだけだが、プラグインは各トランザクションに成功したメッセージを電子メールで送信するため、管理者を騙して各オーダーを処理させることができる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/38257dbf-288e-4028-af65-85f5389888ac

プラグイン: Forminator Forms

対象製品	Forminator Forms
対象バージョン	1.42.0までの全てのバージョン
脆弱性概要	寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/5039d63b-377d-435a-be31-4ae81ea30dd3

プラグイン: Ally

対象製品	Ally
対象バージョン	3.1.0までの全てのバージョン
脆弱性概要	認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/57a7a8cc-6a59-4e92-8e14-36e2550b0f51

プラグイン: Tutor LMS

対象製品	Tutor LMS
対象バージョン	3.4.0までの全てのバージョン
脆弱性概要	購読者以上の権限を持つユーザーで認証済の場合に、許可されていない場所にHTMLを挿入することができる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/c191da68-d531-4c01-a364-2621c822dc80

プラグイン: Forminator Forms

対象製品	Forminator Forms
対象バージョン	1.42.0までの全てのバージョン
脆弱性概要	認証していない攻撃者が、1つのStripe Payment Intentを複数のトランザクションに再利用することが可能になる。Stripe経由で処理されるのは最初のトランザクションだけだが、プラグインは各トランザクションに成功したメッセージを電子メールで送信するため、管理者を騙して各オーダーを処理させることができる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/c873c04e-516e-41ee-a295-b8c5235abc1b

プラグイン: Photo Gallery by 10Web

対象製品	Photo Gallery by 10Web
対象バージョン	1.8.34までの全てのバージョン
脆弱性概要	認証していない攻撃者が、管理者にリンクをクリックさせることで、偽のリクエストを使って任意のウェブスクリプトをページに挿入することが可能となる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/ce261415-870c-4300-85e8-b15a02c7eec5

プラグイン: Fluent Forms

対象製品	Fluent Forms
対象バージョン	6.0.2までの全てのバージョン
脆弱性概要	寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/f31bd18e-57d4-4c87-8a7c-a168e7e70061

総括

この期間内に報告された脆弱性9件のうち、6件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、3件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。今回は限定的な条件の元ではあるものの、誰でも攻撃できる脆弱性が多く見つかりました。

Contact Form 7 はWordPress.orgによると1000万件のアクティブなインストールがあり、多くのサイトで利用されているプラグインです。Contact Form 7とStripeのインテグレーションを利用している場合に影響がある脆弱性のため、Stripeを合わせて利用している場合はアップデートが必要です。また、Stripeを利用していない場合でも、可能であればアップデートすることを検討してください。

同様の脆弱性が Forminator Forms でも報告されています。このように1つのプラグインで脆弱性が見つかった場合には、同様の処理を行っている他のプラグインでも合わせて報告されることがあります。横展開を行い、合わせてテーマ・プラグインを最新に保つようにしましょう。