WordPress テーマ・プラグイン 脆弱性情報のまとめ(2025/05/08-2025/05/14)

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

  • 期間: 2025/05/08-2025/05/14 に報告があったもの
  • 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
    • WordPress.orgにおける "Active installations" が 10万 以上である
    • 日本語の翻訳に対応している

深刻度が高い脆弱性: 2件

プラグイン: Relevanssi

対象製品Relevanssi
対象バージョン4.24.4までの全てのバージョン (Free)
2.27.4までの全てのバージョン (Premium)
修正バージョン4.24.5 (Free)
2.27.5 (Premium)
CVSS高 (7.5)
脆弱性概要4.24.4までの全てのバージョン (Free) および 2.27.4までの全てのバージョン (Premium) において、'cats'と'tags'のクエリパラメータを介した time-based SQLインジェクションの脆弱性が存在します。
認証していない攻撃者が、既存のSQLクエリーに追加のSQLクエリーを付加することで機密情報をデータベースから抜き出すことが可能となります。
対応方法4.24.5以降にアップデートする (Free)
2.27.5以降にアップデートする (Premium)
CVEhttps://www.cve.org/CVERecord?id=CVE-2025-4396
公開日2025-05-12 14:38:29 (2025-05-13 03:21:32更新)
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/197be163-4504-4caa-b729-c3293463cfb5

この脆弱性は 認証していない攻撃者 が機密情報をデータベースから抜き出すことが可能となるものです。
ただし、あくまで既存のSQLクエリーに追加クエリーを付加することしかできないため、攻撃者は直接データを取得することはできません。よって、time-based SQLインジェクションにより抜き出すことになります。(ブラインドSQLインジェクションの1つです)
限定的な方法ではあるものの、認証していない攻撃者による機密情報の取得が可能である点から、早急なアップデートが必要です。

time-based SQLインジェクションについては、以前の解説を参照してください。

プラグイン: Ultimate Member

対象製品Ultimate Member
対象バージョン2.10.3までの全てのバージョン
修正バージョンなし
CVSS高 (7.2)
脆弱性概要2.10.3までの全てのバージョンにおいて、任意の関数を呼び出せる脆弱性が存在します。
攻撃者が管理者以上の権限を持つユーザーで認証済の場合に、任意の関数を実行し、リモートでコードを実行することが可能になります。
対応方法まだ修正が提供されていません。脆弱性の詳細を確認し、組織のリスク許容度に基づいて対策を実施してください。影響を受けるソフトウェアをアンインストールし、代わりのソフトウェアを見つけることが最良の方法となることがあります。
CVEhttps://www.cve.org/CVERecord?id=CVE-2025-47691
公開日2025-05-07 00:00:00 (2025-05-12 19:23:37更新)
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/dc8b33c7-23ef-4b5c-bdb9-b4e548d18832

この脆弱性は 攻撃者が管理者以上の権限を持つユーザーで認証済の場合 に、任意の関数を実行し、リモートでコードを実行することが可能になるものです。
任意のコードを実行できることから影響は多岐に及びます。
ただし、管理者以上の権限で認証済であることが条件であるため、管理者権限を持つユーザーを限定したり、認証情報を再度確認したりすることが重要です。
なお、現時点では修正が提供されていません。プラグインを利用していなかったり、機能が必要なくなったりしている場合には、プラグインをアンインストールするとよいでしょう。

他の脆弱性: 11件

プラグイン: Relevanssi

対象製品Relevanssi
対象バージョン4.23.0までの全てのバージョン (Free)
2.26.0までの全てのバージョン (Premium)
脆弱性概要認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/049ec60a-fa84-4c03-a766-7f2a56e5295a

プラグイン: WPForms

対象製品WPForms
対象バージョン1.9.5までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/179eb680-e8d8-4918-96e3-e67217771c29

テーマ: Blocksy

対象製品Blocksy
対象バージョン2.0.97までの全てのバージョン
脆弱性概要管理者以上の権限を持つユーザーで認証済の場合に、プラグインをインストールできるようになる。
※一般的に管理者はプラグインのインストールや有効化をする権限がありますが、例えばマルチサイトのように管理者権限からプラグインのインストールや有効化が除かれている場合があります。このような場合に、管理者権限から除いたはずのプラグインのインストールが可能となる脆弱性です。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/3c1a773f-6908-48fc-99d9-a718ee120855

プラグイン: Relevanssi

対象製品Relevanssi
対象バージョン4.22.2までの全てのバージョン (Free)
2.25.1までの全てのバージョン (Premium)
脆弱性概要認証していない攻撃者が、パスワードで保護された投稿から機密情報を取得できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/3fa78f4e-ede2-4863-a2d7-99bd8c7b5912

プラグイン: Advanced Custom Fields (ACF®)

対象製品Advanced Custom Fields (ACF®)
対象バージョン6.3.5までの全てのバージョン
脆弱性概要権限(capability)を設定する権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/51178e18-ae8b-4a7f-974d-23346a8dbc52

プラグイン: Website Builder by SeedProd

対象製品Website Builder by SeedProd
対象バージョン6.18.15までの全てのバージョン
脆弱性概要購読者以上の権限を持つユーザーで認証済の場合に、任意のランディングページのリビジョンのコンテンツを参照できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/669b0f30-8958-420c-93c5-0103b71967dd

プラグイン: Relevanssi

対象製品Relevanssi
対象バージョン4.24.3までの全てのバージョン (Free)
2.27.4までの全てのバージョン (Premium)
脆弱性概要認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/6f77f10b-f142-4859-a941-0fbde6ef7fdb

プラグイン: Relevanssi

対象製品Relevanssi
対象バージョン4.22.0までの全てのバージョン (Free)
2.25.0までの全てのバージョン (Premium)
脆弱性概要認証していない攻撃者が、クエリーログデータをエクスポートすることが可能となる。
プラグイン開発元は適切に権限を制御のためのチェック機能を追加する検討を行うことを示しているが、現時点ではこの脆弱性をそのまま理論的に修正している。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/7b2a3b17-0551-4e02-8e6a-ae8d46da0ef8

プラグイン: MailPoet

対象製品MailPoet
対象バージョン5.5.1までの全てのバージョン
脆弱性概要管理者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/93bda572-2acf-4a1b-93ac-72dc9537cb4d

プラグイン: LiteSpeed Cache

対象製品LiteSpeed Cache
対象バージョン7.0.1までの全てのバージョン
脆弱性概要編集者以上の権限を持つユーザーで認証済の場合に、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に利用される可能性がある。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/c96b9599-b1a5-4aa6-85fe-7af3f12d1776

プラグイン: Firelight Lightbox

対象製品Firelight Lightbox
対象バージョン2.3.14までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/ecc55a5b-efb4-45a3-9764-f297a6bcfb69

WordPressコアの脆弱性: 1件

コア: WordPress

対象製品WordPress
対象バージョン6.8までの全てのバージョン
脆弱性概要WordPress 6.8以前のバージョンでは、弱いMD5ベースのパスワードハッシュアルゴリズムを使用しており、攻撃者がハッシュ値へのアクセスを利用して平文の値を決定することが容易になってる。
※注意:パスワードハッシュアルゴリズムを変更することで、最近のPHPバージョンを使用するウェブホストからPHP 5.2を使用する別のウェブホストへのWordPressサイトの移行といった特定のユースケースでは互換性がなくなる可能性がある。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/e5dc87cd-4f45-4faf-b1e2-64e94eacb180

総括

この期間内に報告された脆弱性13件のうち、5件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、8件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。

Relevanssiに複数の脆弱性が報告されています。RelevanssiはWordPressの検索機能を強化するプラグインです。利用している場合は速やかにアップデートをしてください。
また、Ultimate Memberの脆弱性は現時点で修正が提供されていません。上記対策に記載の通り、リスクを判断した上で利用を継続するか、プラグインを利用していなかったり、機能が必要なくなったりしている場合には、プラグインをアンインストールしてください。

WordPressコアの脆弱性が報告されていますが、これはWordPressが歴史的にこれまで利用してきたMD5ハッシュが弱いハッシュ (ハッシュ値の特定は容易であるということ) ことに対するものです。WordPress 6.8ではMD5ハッシュに代えて、強固なbcryptハッシュに変更しています。このことは、WordPress 6.8のアップデート内容にも明記されています。
WordPress 6.8にアップグレードした場合、自動的にMD5ハッシュをbcryptハッシュに変更する処理が行われますが、上記の注意に記載しているように古いPHPではbcryptハッシュをサポートしていません。ただし、WordPress 6.8はPHP 7.1以前をサポートしていないため、そもそも古いPHPに移行することはできません。また、同様の理由から、WordPress 6.8からそれよりも前のWordPressにダウングレードすることができない点も注意が必要です。

WordPress Security Advisoryはメールでも配信しています。
こちらからお申し込みください:https://www.prime-strategy.co.jp/mail-magazine/

超高速CMS実行環境 KUSANAGI
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.