WordPress テーマ・プラグイン 脆弱性情報のまとめ(2025/04/24-2025/04/30)

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

  • 期間: 2025/04/24-2025/04/30 に報告があったもの
  • 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
    • WordPress.orgにおける "Active installations" が 10万 以上である
    • 日本語の翻訳に対応している

深刻度が高い脆弱性: 2件

プラグイン: WP Crontrol

対象製品WP Crontrol
対象バージョン1.16.1までの全てのバージョン
修正バージョン1.16.2
CVSS高 (7.5)
脆弱性概要1.16.1までの全てのバージョンにおいて、リモートコード実行の脆弱性が存在します。
データベースの編集にアクセスできる別の脆弱性がサイト上に存在する場合、攻撃者はサーバ上でコードが実行される可能性があります。
以下のいずれかの条件を満たした場合が該当します。
・プラグイン、テーマ、WordPress コアのいずれかに書き込み可能な SQLi 脆弱性がある
・ホスティングレベルでサイトのデータベースが侵害されている
・wp_optionsテーブルの任意のオプションを更新する手法に脆弱性がある
・パラメータを制御して任意のアクション、フィルタ、関数をトリガーする手法に脆弱性がある
対応方法1.16.2以降にアップデートする
CVEhttps://www.cve.org/CVERecord?id=CVE-2024-28850
公開日2024-03-24 00:00:00 (2025-04-25 20:51:51更新)
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/1b0c1afc-0e77-4a56-89cb-84e2fcc8aa21

この脆弱性は データベースの編集にアクセスできる別の脆弱性がサイト上に存在する場合 に攻撃者はサーバ上でコードの実行が可能となるものです。
データベースの編集が可能となる脆弱性については上記の一覧に示した通りで、必要となる権限はそれぞれの脆弱性に依存します。
アップデートできないプラグインや脆弱性が不明なプラグインを使用している場合などは、早急なアップデートが必要です。

プラグイン: Elementor Website Builder

対象製品Elementor Website Builder
対象バージョン3.19.0までの全てのバージョン
修正バージョン3.19.1
CVSS高 (8.8)
脆弱性概要3.19.0 までの全てのバージョンにおいて、'tmp_name'パラメータで十分なパス検証を行っていないため、任意のファイル削除や PHAR のシリアライズに対する脆弱性が存在します。
攻撃者が投稿者レベル以上の権限を持つユーザーで認証済の場合に、phar ラッパーを使用して任意のファイルを削除されたり PHP オブジェクトを注入されるが可能性があります。
対応方法3.19.1以降にアップデートする
CVEhttps://www.cve.org/CVERecord?id=CVE-2024-24934
公開日2024-02-07 00:00:00 (2025-04-25 20:35:06更新)
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/4915b769-9499-40ac-835e-279e3a910558

PHARとはPHPアプリケーションの全体を1つのファイル (PHP Archive) にまとめて、配布やインストールを容易するためのもので、wp cliなどでも使われています。
PHPオブジェクトインジェクションだけでなく、任意のファイルを削除できることによる影響が深刻です。
例えばwp-config.phpが削除された場合には、WordPressのサイトはインストール画面を表示して任意の管理者を追加できる状態になります。

他の脆弱性: 5件

プラグイン: WP Statistics

対象製品WP Statistics
対象バージョン14.13.3までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、任意のプラグイン設定を更新できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/07f7ef07-0f14-4b74-8d47-d5dece4954b0

プラグイン: LiteSpeed Cache

対象製品LiteSpeed Cache
対象バージョン6.3.0.1までの全てのバージョン
脆弱性概要認証されていない攻撃者が、ユーザーIDを管理者のものに詐称して/wp-json/wp/v2/users REST APIエンドポイントを利用して管理者ロールの新しいユーザーアカウントを作成できる。
悪用するにはデバッグログやブルートフォースで見つけられる有効なハッシュへのアクセス権を得て、ユーザーは現在のIDを管理者のものに設定することが必要で、クローラーが無効化されている場合にはこの問題は悪用されない。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/104badec-6e6e-44bb-936b-d135dd80890d

プラグイン: Gutenberg

対象製品Gutenberg
対象バージョン18.6.0までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/2a225ccb-a7dc-4437-bd97-b309d6ae6a47

プラグイン: Gutenberg

対象製品Gutenberg
対象バージョン14.3.0までの全てのバージョン
脆弱性概要ブロックエディタにアクセスできる権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/438fbd3f-052b-4a6d-acd2-233a93d56cbb

プラグイン: Tutor LMS

対象製品Tutor LMS
対象バージョン3.4.0までの全てのバージョン
脆弱性概要購読者以上の権限を持つユーザーで認証済の場合に、許可されていない場所にHTMLを挿入することができる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/c191da68-d531-4c01-a364-2621c822dc80

WordPressコアの脆弱性: 2件

コア: WordPress

対象製品WordPress
対象バージョン5.9から5.9.9までの全てのバージョン
6.0から6.0.8までの全てのバージョン
6.1から6.1.6までの全てのバージョン
6.2から6.2.5までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
※プラグイン: Gutenberg の 18.6.0までの全てのバージョン に該当する脆弱性です。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/2a225ccb-a7dc-4437-bd97-b309d6ae6a47

コア: WordPress

対象製品WordPress
対象バージョン3.6.1までの全てのバージョン
3.7から3.7.39までの全てのバージョン
3.8から3.8.39までの全てのバージョン
3.9から3.9.37までの全てのバージョン
4.0から4.0.36までの全てのバージョン
4.1から4.1.36までの全てのバージョン
4.2から4.2.33までの全てのバージョン
4.3から4.3.29までの全てのバージョン
4.4から4.4.28までの全てのバージョン
4.5から4.5.27までの全てのバージョン
4.6から4.6.24までの全てのバージョン
4.7から4.7.24までの全てのバージョン
4.8から4.8.20までの全てのバージョン
4.9から4.9.21までの全てのバージョン
5.0から5.0.17までの全てのバージョン
5.1から5.1.14までの全てのバージョン
5.2から5.2.16までの全てのバージョン
5.3から5.3.13までの全てのバージョン
5.4から5.4.11までの全てのバージョン
5.5から5.5.10までの全てのバージョン
5.6から5.6.9までの全てのバージョン
5.7から5.7.7までの全てのバージョン
5.8から5.8.5までの全てのバージョン
5.9から5.9.4までの全てのバージョン
6.0から6.0.2までの全てのバージョン
脆弱性概要ブロックエディタにアクセスできる権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
※プラグイン: Gutenberg の 14.3.0までの全てのバージョン に該当する脆弱性です。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/438fbd3f-052b-4a6d-acd2-233a93d56cbb

総括

この期間内に報告された脆弱性10件のうち、1件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、9件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。

今回はWordPressコアの脆弱性が報告されていますが、WordPressコアが同梱しているGutenbergプラグインに存在する脆弱性に対応するものです。
WordPressコアが同梱しているGutenbergプラグインはWordPressの管理画面のプラグイン一覧から見ることができないため、個別にアップデートが行えません。そのため、Gutenbergのアップデートを行う場合はWordPressコアとしてアップデートを行います。

また、LiteSpeed Cacheの脆弱性は認証されていない攻撃者に影響を受ける脆弱性ですが、管理者として認証済のハッシュを取得することが必要なため、デバッグログでの表示やブルートフォースによる取得などが必要となります。クローラーや不自然なアクセスを監視してブロックする対策を講じることを検討してください。
また、HTTPなど暗号化されていない通信を使用してで管理者として認証済の場合には、ハッシュを盗聴される可能性もあります。WordPressの管理画面へのアクセスにはHTTPSを使用することが重要です。

WordPress Security Advisoryはメールでも配信しています。
こちらからお申し込みください:https://www.prime-strategy.co.jp/mail-magazine/

超高速CMS実行環境 KUSANAGI
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.