WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/05/15-2025/05/21 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 2件
プラグイン: Relevanssi
| 対象製品 | Relevanssi |
| 対象バージョン | 2.27.5までの全てのバージョン (Premium) 4.24.4までの全てのバージョン (Free) |
| 修正バージョン | 2.27.6 (Premium) 4.24.5 (Free) |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 4.24.4までの全てのバージョン (Free) および 2.27.5までの全てのバージョン (Premium) において、'cats'と'tags'のクエリパラメータを介した time-based SQLインジェクションの脆弱性が存在します。 認証していない攻撃者が、既存のSQLクエリーに追加のSQLクエリーを付加することで機密情報をデータベースから抜き出すことが可能となります。 |
| 対応方法 | 2.27.6以降にアップデートする (Premium) 4.24.5以降にアップデートする (Free) |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-4396 |
| 公開日 | 2025-05-12 14:38:29 (2025-05-16 17:36:36更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/197be163-4504-4caa-b729-c3293463cfb5 |
先週の内容の更新版になります。
有償版 (Premium) の 2.27.5 (Premium) が脆弱性の対象に含まれるようになり、修正バージョンが 2.27.6 (Premium) に変わりました。
無償版 (Free) の対象は 4.24.4 (Free) と変わっていません。
プラグイン: Ultimate Member
| 対象製品 | Ultimate Member |
| 対象バージョン | 2.10.3までの全てのバージョン |
| 修正バージョン | 2.10.4 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 2.10.3までの全てのバージョンにおいて、任意の関数を呼び出せる脆弱性が存在します。 攻撃者が管理者以上の権限を持つユーザーで認証済の場合に、任意の関数を実行し、リモートでコードを実行することが可能になります。 |
| 対応方法 | 2.10.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-47691 |
| 公開日 | 2025-05-07 00:00:00 (2025-05-16 14:16:24更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dc8b33c7-23ef-4b5c-bdb9-b4e548d18832 |
先週の内容の更新版になります。
脆弱性を修正した 2.10.4 が提供されました。
他の脆弱性: 2件
プラグイン: All in One SEO
| 対象製品 | All in One SEO |
| 対象バージョン | 4.8.1.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7fd5d31d-a4f3-458a-b457-f20aeaa71749 |
プラグイン: WooCommerce
| 対象製品 | WooCommerce |
| 対象バージョン | 9.3.2までの全てのバージョン 9.4から9.4.2までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、ユーザーを騙してアクションを実行させることで、任意のウェブスクリプトをページに挿入することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/cc2ee5bb-eeb8-4134-8f3f-b411e56457f0 |
総括
この期間内に報告された脆弱性4件のうち、2件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、2件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
先週に引き続きRelevanssiの有償版に脆弱性が報告されています。利用している場合は速やかにアップデートをしてください。
また、Ultimate Memberの脆弱性に対する修正が提供されました。利用している場合はこちらも速やかにアップデートをしてください。
多くのプラグインでは脆弱性の公開の前か、公開に合わせて修正が提供されますが、Ultimate Memberのように遅れて修正が提供される場合もあります。Ultimate Memberは利用者も多く、開発も継続しているプラグインです。 (前のバージョンである 2.10.3 は2025-04-24に公開されています)
このように、開発が活発なプラグインで脆弱性が報告されて、まだ修正が提供されていない場合には、一度プラグインの動作を停止して、修正が提供されるまで待つというのも対応策の1つとして考えられます。ただし、脆弱性によっては停止しても影響する場合がありますので、報告された脆弱性の内容を元に判断してください。
