WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/04/17-2025/04/23 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 3件
プラグイン: Custom Product Tabs for WooCommerce
| 対象製品 | Custom Product Tabs for WooCommerce |
| 対象バージョン | 1.8.5までの全てのバージョン |
| 修正バージョン | 1.8.6 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 1.8.5までの全てのバージョンに、'yikes_woo_products_tabs' post meta パラメタで信頼できない入力をデシリアライズすることにより、 PHP オブジェクトインジェクションの脆弱性が存在します。 攻撃者がショップ運営者以上の権限を持つユーザーで認証済の場合に、PHPオブジェクトを挿入できます。 なお、このプラグイン単体にはPOPチェインはありません。つまり、ウェブサイトにPOPチェインを持つ他のプラグインやテーマが存在しない限り、この脆弱性の影響はありません。 もしも、他にインストールされたプラグインやテーマにPOPチェインが存在する場合、攻撃者はそのPOPチェインによっては任意のファイルを削除したり、機密性のデータを取得したり、PHPコードを実行したりすることができます。 |
| 対応方法 | 1.8.6 以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2024-11465 |
| 公開日 | 2025-01-06 15:37:29 (2025-04-17 13:09:25更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1ad0d6eb-aafa-4f0b-bf1c-73d94e361087 |
この脆弱性は 攻撃者がショップ運営者以上の権限を持つユーザーで認証済の場合 に任意のPHPオブジェクトを挿入できるものです。
なお、このプラグイン単体にはPOPチェインがないため、POPチェインを持つ他のプラグインやテーマをインストールしていない限りは影響がありません。
ログイン (認証) が必要な攻撃ですが、POPチェインの有無が不明な場合はアップデートが必要です。
POPチェインについては以前に解説していますので、そちらを参照ください。
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.12までの全てのバージョン |
| 修正バージョン | 3.3.13 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 3.3.12までの全てのバージョンに、 savePackage関数におけるファイルパスのバリデーションが不十分なため、 任意のファイルを削除される脆弱性が存在します。 攻撃者が投稿者以上の権限を持つユーザーで認証済の場合に、サーバ上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。 |
| 対応方法 | 3.3.13 以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-3404 |
| 公開日 | 2025-04-18 18:52:05 (2025-04-19 07:23:40更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/21f8f5be-b513-4040-af39-c1a61d7e313f |
この脆弱性は 攻撃者が投稿者以上の権限を持つユーザーで認証済の場合 にサーバ上の任意のファイルを削除することが可能となるものです。
上記のとおり、例えばwp-config.phpが削除された場合には、WordPressのサイトはインストール画面を表示して任意の管理者を追加できる状態になります。
プラグイン: Insert Headers And Footers
| 対象製品 | Insert Headers And Footers |
| 対象バージョン | 3.1.1までの全てのバージョン |
| 修正バージョン | 3.1.2 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 3.1.1 までの全てのバージョンに、Cross-Site Request Forgery の脆弱性があります。これは、 'custom_plugin_set_option' 関数における nonce 検証の欠落または不正確さによるものです。 認証されていない攻撃者が、管理者を騙してリンクをクリックするなどのアクションを実行させることで、偽のリクエストを使用して WordPress サイトの任意のオプションを更新することができます。これを利用して、登録のデフォルトのロールを管理者に更新し、攻撃者がサイトへの管理者でのアクセス権限を得るためのユーザー登録が可能になります。 脆弱性を悪用するには 'WPBRIGADE_SDK__DEV_MODE' 定数を 'true' に設定する必要があります。 |
| 対応方法 | 3.1.2 以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-2111 |
| 公開日 | 2025-04-18 00:00:00 (2025-04-19 05:30:15更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7b00d175-261d-46e3-bf3c-2d18f4e4972d |
この脆弱性は 認証されていない攻撃者 が偽のリクエストを使用して WordPress サイトの任意のオプションを更新するリクエスト (リンク) を埋め込むことが可能となるものです。管理者が騙されて、そのリンクをクリックすることでアクションが実行されます。
Cross-Site Request Forgery (CSRF) については以前に解説していますので、そちらを参照ください。
他の脆弱性: 6件
プラグイン: Ocean Extra
| 対象製品 | Ocean Extra |
| 対象バージョン | 2.4.6までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/362a01c0-8b97-40dc-8af5-0d904da96576 |
プラグイン: Ocean Extra
| 対象製品 | Ocean Extra |
| 対象バージョン | 2.4.6までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、任意のショートコード (shortcode) を実行できる。 これはWooCommerceがインストール済でアクティブな場合にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/74428e76-1946-408f-8adc-24ab4b7e46c5 |
プラグイン: Ocean Extra
| 対象製品 | Ocean Extra |
| 対象バージョン | 2.4.6までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 これはClassic Editor pluginがインストール済でアクティブな場合にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7595a1f6-6923-4102-8efe-a414adebce65 |
プラグイン: Social Sharing Plugin
| 対象製品 | Social Sharing Plugin |
| 対象バージョン | 3.3.73までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、ユーザーを騙してアクションを実行させることで、潜在的に悪意のあるサイトへリダイレクトさせることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d1418658-e068-4f49-a959-3bc8283c239a |
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.12までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたSVGファイルにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dd9e6ba7-f107-4d7c-a7da-35e603f3a1a8 |
プラグイン: Slider, Gallery, and Carousel by MetaSlider
| 対象製品 | Slider, Gallery, and Carousel by MetaSlider |
| 対象バージョン | 3.94.0までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e91a92c2-d8df-49e1-8c08-0df7fa7c6829 |
総括
この期間内に報告された脆弱性9件のうち、3件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、6件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
Download Manager は2件、 Ocean Extra は3件と同一のプラグインで複数の脆弱性が確認されています。特に Ocean Extra では WooCommerce がインストール済でアクティブな場合に、認証していない攻撃者が任意のショートコードを実行できる脆弱性が確認されています。 WooCommerceを利用している場合には、Ocean Extraを合わせて利用していないか確認が必要です。
