WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/05/22-2025/05/28 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 0件
なし
他の脆弱性: 11件
プラグイン: Social Media Share Buttons & Social Sharing Icons
| 対象製品 | Social Media Share Buttons & Social Sharing Icons |
| 対象バージョン | 2.9.0までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0092f02d-ec3a-4a11-bad9-67714d3d976e |
プラグイン: Ninja Forms
| 対象製品 | Ninja Forms |
| 対象バージョン | 3.10.0までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/133e2834-ed47-4e76-b353-0de028657a6e |
プラグイン: Smash Balloon Social Photo Feed
| 対象製品 | Smash Balloon Social Photo Feed |
| 対象バージョン | 6.9.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/23e47daa-79e7-4ed3-a88a-0f090e9aa277 |
プラグイン: Ninja Forms
| 対象製品 | Ninja Forms |
| 対象バージョン | 3.10.0までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。 ※上記に同様の内容がありますが、こちらは別の脆弱性に起因するものです。条件、脆弱性の内容、修正バージョンは同じです。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4b8a3e10-bdd9-4d5f-8632-bd7f0247b8f1 |
プラグイン: Jetpack
| 対象製品 | Jetpack |
| 対象バージョン | 13.7までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、任意のショートコード (shortcode) を実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7f7dca64-4965-4b19-96a1-8c24c49468fb |
プラグイン: Jetpack
| 対象製品 | Jetpack |
| 対象バージョン | 13.7までの全てのバージョン (Jetpack) 3.4.7までの全てのバージョン (Jetpack Boost) |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/876f9c76-dc4f-4d79-a037-43304245df32 |
プラグイン: PrettyLinks
| 対象製品 | PrettyLinks |
| 対象バージョン | 3.6.15までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、リンクステータスを検索できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9ed0d4b6-f553-4aa5-9dfa-49df78f4269d |
プラグイン: WooCommerce
| 対象製品 | WooCommerce |
| 対象バージョン | 9.3.2までの全てのバージョン 9.4から9.4.2までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、ユーザーを騙してリンクをクリックするといったアクションを実行させることで、任意のウェブスクリプトをページに挿入することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/cc2ee5bb-eeb8-4134-8f3f-b411e56457f0 |
プラグイン: TablePress
| 対象製品 | TablePress |
| 対象バージョン | 3.1.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/cd2dfa02-0404-4300-a5ed-6326f9df6d30 |
プラグイン: Ninja Forms
| 対象製品 | Ninja Forms |
| 対象バージョン | 3.10.0までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。 ※上記に同様の内容が2件ありますが、こちらは別の脆弱性に起因するものです。条件、脆弱性の内容、修正バージョンは同じです。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d6203da8-8cf0-4bd8-8ecb-3e2ec787bf6f |
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.11.2.1までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、インポートを作成できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/fe2fd740-b5b5-4a2a-88fc-b19b2f0f6a2b |
総括
この期間内に報告された脆弱性11件のうち、2件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、9件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今週報告された8件の脆弱性は Cross-Site Scripting (XSS) に対する脆弱性です。
XSSの脆弱性は、プラグインのコード (PHP) によるものとは限らず、同梱しているJavaScriptライブラリによる場合もあります。XSSについては、以前にサーバの設定でも予防することができる場合があることを紹介していますので参考にしてください。
