WordPress テーマ・プラグイン 脆弱性情報のまとめ（2025/05/01-2025/05/07）

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

• 期間: 2025/05/01-2025/05/07 に報告があったもの
• 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
  • WordPress.orgにおける "Active installations" が 10万 以上である
  • 日本語の翻訳に対応している

深刻度が高い脆弱性: 1件

プラグイン: Popup and Slider Builder by Depicter

対象製品	Popup and Slider Builder by Depicter
対象バージョン	3.6.1までの全てのバージョン
修正バージョン	3.6.2
CVSS	高 (7.5)
脆弱性概要	3.6.1までの全てのバージョンにおいて、ユーザが提供したパラメータのエスケープと既存の SQL クエリの事前処理が不十分であるため、's' パラメータを経由した汎用SQLインジェクションの脆弱性が存在します。 認証されていない攻撃者が、データベースから機密情報を抽出するために、使用可能な追加のSQLクエリをすでに存在するクエリに追加することが可能となります。
対応方法	3.6.2 以降にアップデートする
CVE	https://www.cve.org/CVERecord?id=CVE-2025-2011
公開日	2025-05-05 20:26:33 (2025-05-06 09:21:50更新)
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/49b36cde-39d8-4a69-8d7c-7b850b76a7cd

この脆弱性は 認証していない攻撃者 が機密情報をデータベースから抜き出すことが可能となるものです。
既存のSQLクエリーに追加クエリーを付加することで、攻撃者は直接 SQLインジェクション によりデータを取得できます。
認証していない攻撃者による機密情報の取得が可能である点から、早急なアップデートが必要です。

他の脆弱性: 2件

プラグイン: Relevanssi

対象製品	Relevanssi
対象バージョン	4.24.3までの全てのバージョン
脆弱性概要	認証されていない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/6f77f10b-f142-4859-a941-0fbde6ef7fdb

プラグイン: Login Lockdown & Protection

対象製品	Login Lockdown & Protection
対象バージョン	2.11までの全てのバージョン
脆弱性概要	購読者以上の権限を持つユーザーで認証済の場合に、グローバルアンロックキーを生成するために使用できる有効なnonceを取得することが可能になり、このnonceを使用して任意のIPアドレスをプラグインの許可リストに追加できる。 プラグインを新規インストールしてサイト管理者がまだloginlockdownページにアクセスしていない場合でのみ悪用可能となる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/ac9a3848-f486-475b-b2c7-ea1007bb30d3

総括

この期間内に報告された脆弱性3件のうち、2件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、1件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。

SQLインジェクションによる攻撃は直接データベースの内部のデータを取得される恐れがあることはもちろん、ユーザー名や使用しているプラグインの情報など、攻撃者が攻撃のための更なる情報を取得する機会を得ることにもつながります。速やかにアップデートを行ってください。

Login Lockdown & Protectionの脆弱性は、WordPressの管理画面でプラグインの設定ページを開いたことがない場合に影響を受けます。以前も別のプラグインでも同様の脆弱性がありましたが、インストールしたプラグインに設定ページなどが存在する場合は、必ず設定に目を通すことが必要です。