WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/04/24-2025/04/30 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 2件
プラグイン: WP Crontrol
対象製品 | WP Crontrol |
対象バージョン | 1.16.1までの全てのバージョン |
修正バージョン | 1.16.2 |
CVSS | 高 (7.5) |
脆弱性概要 | 1.16.1までの全てのバージョンにおいて、リモートコード実行の脆弱性が存在します。 データベースの編集にアクセスできる別の脆弱性がサイト上に存在する場合、攻撃者はサーバ上でコードが実行される可能性があります。 以下のいずれかの条件を満たした場合が該当します。 ・プラグイン、テーマ、WordPress コアのいずれかに書き込み可能な SQLi 脆弱性がある ・ホスティングレベルでサイトのデータベースが侵害されている ・wp_optionsテーブルの任意のオプションを更新する手法に脆弱性がある ・パラメータを制御して任意のアクション、フィルタ、関数をトリガーする手法に脆弱性がある |
対応方法 | 1.16.2以降にアップデートする |
CVE | https://www.cve.org/CVERecord?id=CVE-2024-28850 |
公開日 | 2024-03-24 00:00:00 (2025-04-25 20:51:51更新) |
詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1b0c1afc-0e77-4a56-89cb-84e2fcc8aa21 |
この脆弱性は データベースの編集にアクセスできる別の脆弱性がサイト上に存在する場合 に攻撃者はサーバ上でコードの実行が可能となるものです。
データベースの編集が可能となる脆弱性については上記の一覧に示した通りで、必要となる権限はそれぞれの脆弱性に依存します。
アップデートできないプラグインや脆弱性が不明なプラグインを使用している場合などは、早急なアップデートが必要です。
プラグイン: Elementor Website Builder
対象製品 | Elementor Website Builder |
対象バージョン | 3.19.0までの全てのバージョン |
修正バージョン | 3.19.1 |
CVSS | 高 (8.8) |
脆弱性概要 | 3.19.0 までの全てのバージョンにおいて、'tmp_name'パラメータで十分なパス検証を行っていないため、任意のファイル削除や PHAR のシリアライズに対する脆弱性が存在します。 攻撃者が投稿者レベル以上の権限を持つユーザーで認証済の場合に、phar ラッパーを使用して任意のファイルを削除されたり PHP オブジェクトを注入されるが可能性があります。 |
対応方法 | 3.19.1以降にアップデートする |
CVE | https://www.cve.org/CVERecord?id=CVE-2024-24934 |
公開日 | 2024-02-07 00:00:00 (2025-04-25 20:35:06更新) |
詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4915b769-9499-40ac-835e-279e3a910558 |
PHARとはPHPアプリケーションの全体を1つのファイル (PHP Archive) にまとめて、配布やインストールを容易するためのもので、wp cliなどでも使われています。
PHPオブジェクトインジェクションだけでなく、任意のファイルを削除できることによる影響が深刻です。
例えばwp-config.phpが削除された場合には、WordPressのサイトはインストール画面を表示して任意の管理者を追加できる状態になります。
他の脆弱性: 5件
プラグイン: WP Statistics
対象製品 | WP Statistics |
対象バージョン | 14.13.3までの全てのバージョン |
脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、任意のプラグイン設定を更新できる。 |
詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/07f7ef07-0f14-4b74-8d47-d5dece4954b0 |
プラグイン: LiteSpeed Cache
対象製品 | LiteSpeed Cache |
対象バージョン | 6.3.0.1までの全てのバージョン |
脆弱性概要 | 認証されていない攻撃者が、ユーザーIDを管理者のものに詐称して/wp-json/wp/v2/users REST APIエンドポイントを利用して管理者ロールの新しいユーザーアカウントを作成できる。 悪用するにはデバッグログやブルートフォースで見つけられる有効なハッシュへのアクセス権を得て、ユーザーは現在のIDを管理者のものに設定することが必要で、クローラーが無効化されている場合にはこの問題は悪用されない。 |
詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/104badec-6e6e-44bb-936b-d135dd80890d |
プラグイン: Gutenberg
対象製品 | Gutenberg |
対象バージョン | 18.6.0までの全てのバージョン |
脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2a225ccb-a7dc-4437-bd97-b309d6ae6a47 |
プラグイン: Gutenberg
対象製品 | Gutenberg |
対象バージョン | 14.3.0までの全てのバージョン |
脆弱性概要 | ブロックエディタにアクセスできる権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/438fbd3f-052b-4a6d-acd2-233a93d56cbb |
プラグイン: Tutor LMS
対象製品 | Tutor LMS |
対象バージョン | 3.4.0までの全てのバージョン |
脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、許可されていない場所にHTMLを挿入することができる。 |
詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c191da68-d531-4c01-a364-2621c822dc80 |
WordPressコアの脆弱性: 2件
コア: WordPress
対象製品 | WordPress |
対象バージョン | 5.9から5.9.9までの全てのバージョン 6.0から6.0.8までの全てのバージョン 6.1から6.1.6までの全てのバージョン 6.2から6.2.5までの全てのバージョン |
脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 ※プラグイン: Gutenberg の 18.6.0までの全てのバージョン に該当する脆弱性です。 |
詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2a225ccb-a7dc-4437-bd97-b309d6ae6a47 |
コア: WordPress
対象製品 | WordPress |
対象バージョン | 3.6.1までの全てのバージョン 3.7から3.7.39までの全てのバージョン 3.8から3.8.39までの全てのバージョン 3.9から3.9.37までの全てのバージョン 4.0から4.0.36までの全てのバージョン 4.1から4.1.36までの全てのバージョン 4.2から4.2.33までの全てのバージョン 4.3から4.3.29までの全てのバージョン 4.4から4.4.28までの全てのバージョン 4.5から4.5.27までの全てのバージョン 4.6から4.6.24までの全てのバージョン 4.7から4.7.24までの全てのバージョン 4.8から4.8.20までの全てのバージョン 4.9から4.9.21までの全てのバージョン 5.0から5.0.17までの全てのバージョン 5.1から5.1.14までの全てのバージョン 5.2から5.2.16までの全てのバージョン 5.3から5.3.13までの全てのバージョン 5.4から5.4.11までの全てのバージョン 5.5から5.5.10までの全てのバージョン 5.6から5.6.9までの全てのバージョン 5.7から5.7.7までの全てのバージョン 5.8から5.8.5までの全てのバージョン 5.9から5.9.4までの全てのバージョン 6.0から6.0.2までの全てのバージョン |
脆弱性概要 | ブロックエディタにアクセスできる権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 ※プラグイン: Gutenberg の 14.3.0までの全てのバージョン に該当する脆弱性です。 |
詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/438fbd3f-052b-4a6d-acd2-233a93d56cbb |
総括
この期間内に報告された脆弱性10件のうち、1件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、9件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今回はWordPressコアの脆弱性が報告されていますが、WordPressコアが同梱しているGutenbergプラグインに存在する脆弱性に対応するものです。
WordPressコアが同梱しているGutenbergプラグインはWordPressの管理画面のプラグイン一覧から見ることができないため、個別にアップデートが行えません。そのため、Gutenbergのアップデートを行う場合はWordPressコアとしてアップデートを行います。
また、LiteSpeed Cacheの脆弱性は認証されていない攻撃者に影響を受ける脆弱性ですが、管理者として認証済のハッシュを取得することが必要なため、デバッグログでの表示やブルートフォースによる取得などが必要となります。クローラーや不自然なアクセスを監視してブロックする対策を講じることを検討してください。
また、HTTPなど暗号化されていない通信を使用してで管理者として認証済の場合には、ハッシュを盗聴される可能性もあります。WordPressの管理画面へのアクセスにはHTTPSを使用することが重要です。