WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/05/08-2025/05/14 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 2件
プラグイン: Relevanssi
| 対象製品 | Relevanssi |
| 対象バージョン | 4.24.4までの全てのバージョン (Free) 2.27.4までの全てのバージョン (Premium) |
| 修正バージョン | 4.24.5 (Free) 2.27.5 (Premium) |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 4.24.4までの全てのバージョン (Free) および 2.27.4までの全てのバージョン (Premium) において、'cats'と'tags'のクエリパラメータを介した time-based SQLインジェクションの脆弱性が存在します。 認証していない攻撃者が、既存のSQLクエリーに追加のSQLクエリーを付加することで機密情報をデータベースから抜き出すことが可能となります。 |
| 対応方法 | 4.24.5以降にアップデートする (Free) 2.27.5以降にアップデートする (Premium) |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-4396 |
| 公開日 | 2025-05-12 14:38:29 (2025-05-13 03:21:32更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/197be163-4504-4caa-b729-c3293463cfb5 |
この脆弱性は 認証していない攻撃者 が機密情報をデータベースから抜き出すことが可能となるものです。
ただし、あくまで既存のSQLクエリーに追加クエリーを付加することしかできないため、攻撃者は直接データを取得することはできません。よって、time-based SQLインジェクションにより抜き出すことになります。(ブラインドSQLインジェクションの1つです)
限定的な方法ではあるものの、認証していない攻撃者による機密情報の取得が可能である点から、早急なアップデートが必要です。
time-based SQLインジェクションについては、以前の解説を参照してください。
プラグイン: Ultimate Member
| 対象製品 | Ultimate Member |
| 対象バージョン | 2.10.3までの全てのバージョン |
| 修正バージョン | なし |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 2.10.3までの全てのバージョンにおいて、任意の関数を呼び出せる脆弱性が存在します。 攻撃者が管理者以上の権限を持つユーザーで認証済の場合に、任意の関数を実行し、リモートでコードを実行することが可能になります。 |
| 対応方法 | まだ修正が提供されていません。脆弱性の詳細を確認し、組織のリスク許容度に基づいて対策を実施してください。影響を受けるソフトウェアをアンインストールし、代わりのソフトウェアを見つけることが最良の方法となることがあります。 |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-47691 |
| 公開日 | 2025-05-07 00:00:00 (2025-05-12 19:23:37更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dc8b33c7-23ef-4b5c-bdb9-b4e548d18832 |
この脆弱性は 攻撃者が管理者以上の権限を持つユーザーで認証済の場合 に、任意の関数を実行し、リモートでコードを実行することが可能になるものです。
任意のコードを実行できることから影響は多岐に及びます。
ただし、管理者以上の権限で認証済であることが条件であるため、管理者権限を持つユーザーを限定したり、認証情報を再度確認したりすることが重要です。
なお、現時点では修正が提供されていません。プラグインを利用していなかったり、機能が必要なくなったりしている場合には、プラグインをアンインストールするとよいでしょう。
他の脆弱性: 11件
プラグイン: Relevanssi
| 対象製品 | Relevanssi |
| 対象バージョン | 4.23.0までの全てのバージョン (Free) 2.26.0までの全てのバージョン (Premium) |
| 脆弱性概要 | 認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/049ec60a-fa84-4c03-a766-7f2a56e5295a |
プラグイン: WPForms
| 対象製品 | WPForms |
| 対象バージョン | 1.9.5までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/179eb680-e8d8-4918-96e3-e67217771c29 |
テーマ: Blocksy
| 対象製品 | Blocksy |
| 対象バージョン | 2.0.97までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、プラグインをインストールできるようになる。 ※一般的に管理者はプラグインのインストールや有効化をする権限がありますが、例えばマルチサイトのように管理者権限からプラグインのインストールや有効化が除かれている場合があります。このような場合に、管理者権限から除いたはずのプラグインのインストールが可能となる脆弱性です。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3c1a773f-6908-48fc-99d9-a718ee120855 |
プラグイン: Relevanssi
| 対象製品 | Relevanssi |
| 対象バージョン | 4.22.2までの全てのバージョン (Free) 2.25.1までの全てのバージョン (Premium) |
| 脆弱性概要 | 認証していない攻撃者が、パスワードで保護された投稿から機密情報を取得できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3fa78f4e-ede2-4863-a2d7-99bd8c7b5912 |
プラグイン: Advanced Custom Fields (ACF®)
| 対象製品 | Advanced Custom Fields (ACF®) |
| 対象バージョン | 6.3.5までの全てのバージョン |
| 脆弱性概要 | 権限(capability)を設定する権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/51178e18-ae8b-4a7f-974d-23346a8dbc52 |
プラグイン: Website Builder by SeedProd
| 対象製品 | Website Builder by SeedProd |
| 対象バージョン | 6.18.15までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、任意のランディングページのリビジョンのコンテンツを参照できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/669b0f30-8958-420c-93c5-0103b71967dd |
プラグイン: Relevanssi
| 対象製品 | Relevanssi |
| 対象バージョン | 4.24.3までの全てのバージョン (Free) 2.27.4までの全てのバージョン (Premium) |
| 脆弱性概要 | 認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6f77f10b-f142-4859-a941-0fbde6ef7fdb |
プラグイン: Relevanssi
| 対象製品 | Relevanssi |
| 対象バージョン | 4.22.0までの全てのバージョン (Free) 2.25.0までの全てのバージョン (Premium) |
| 脆弱性概要 | 認証していない攻撃者が、クエリーログデータをエクスポートすることが可能となる。 プラグイン開発元は適切に権限を制御のためのチェック機能を追加する検討を行うことを示しているが、現時点ではこの脆弱性をそのまま理論的に修正している。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7b2a3b17-0551-4e02-8e6a-ae8d46da0ef8 |
プラグイン: MailPoet
| 対象製品 | MailPoet |
| 対象バージョン | 5.5.1までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/93bda572-2acf-4a1b-93ac-72dc9537cb4d |
プラグイン: LiteSpeed Cache
| 対象製品 | LiteSpeed Cache |
| 対象バージョン | 7.0.1までの全てのバージョン |
| 脆弱性概要 | 編集者以上の権限を持つユーザーで認証済の場合に、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に利用される可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c96b9599-b1a5-4aa6-85fe-7af3f12d1776 |
プラグイン: Firelight Lightbox
| 対象製品 | Firelight Lightbox |
| 対象バージョン | 2.3.14までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ecc55a5b-efb4-45a3-9764-f297a6bcfb69 |
WordPressコアの脆弱性: 1件
コア: WordPress
| 対象製品 | WordPress |
| 対象バージョン | 6.8までの全てのバージョン |
| 脆弱性概要 | WordPress 6.8以前のバージョンでは、弱いMD5ベースのパスワードハッシュアルゴリズムを使用しており、攻撃者がハッシュ値へのアクセスを利用して平文の値を決定することが容易になってる。 ※注意:パスワードハッシュアルゴリズムを変更することで、最近のPHPバージョンを使用するウェブホストからPHP 5.2を使用する別のウェブホストへのWordPressサイトの移行といった特定のユースケースでは互換性がなくなる可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e5dc87cd-4f45-4faf-b1e2-64e94eacb180 |
総括
この期間内に報告された脆弱性13件のうち、5件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、8件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
Relevanssiに複数の脆弱性が報告されています。RelevanssiはWordPressの検索機能を強化するプラグインです。利用している場合は速やかにアップデートをしてください。
また、Ultimate Memberの脆弱性は現時点で修正が提供されていません。上記対策に記載の通り、リスクを判断した上で利用を継続するか、プラグインを利用していなかったり、機能が必要なくなったりしている場合には、プラグインをアンインストールしてください。
WordPressコアの脆弱性が報告されていますが、これはWordPressが歴史的にこれまで利用してきたMD5ハッシュが弱いハッシュ (ハッシュ値の特定は容易であるということ) ことに対するものです。WordPress 6.8ではMD5ハッシュに代えて、強固なbcryptハッシュに変更しています。このことは、WordPress 6.8のアップデート内容にも明記されています。
WordPress 6.8にアップグレードした場合、自動的にMD5ハッシュをbcryptハッシュに変更する処理が行われますが、上記の注意に記載しているように古いPHPではbcryptハッシュをサポートしていません。ただし、WordPress 6.8はPHP 7.1以前をサポートしていないため、そもそも古いPHPに移行することはできません。また、同様の理由から、WordPress 6.8からそれよりも前のWordPressにダウングレードすることができない点も注意が必要です。
