WordPress テーマ・プラグイン 脆弱性情報のまとめ(2025/05/29-2025/06/04)

Security Advisory for WordPress

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

  • 期間: 2025/05/29-2025/06/04 に報告があったもの
  • 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
    • WordPress.orgにおける "Active installations" が 10万 以上である
    • 日本語の翻訳に対応している

深刻度が高い脆弱性: 0件

なし

他の脆弱性: 6件

プラグイン: Smash Balloon Social Photo Feed

対象製品Smash Balloon Social Photo Feed
対象バージョン6.9.0までの全てのバージョン (Smash Balloon Social Photo Feed)
6.8.0までの全てのバージョン (Smash Balloon Instagram Feed Pro)
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/23e47daa-79e7-4ed3-a88a-0f090e9aa277

プラグイン: Broken Link Checker

対象製品Broken Link Checker
対象バージョン2.4.4までの全てのバージョン
脆弱性概要購読者以上の権限を持つユーザーで認証済の場合に、プラグインのステータスを見ることができる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/33ac910c-9531-45ea-84cf-1d379233f7d3

プラグイン: Forminator Forms

対象製品Forminator Forms
対象バージョン1.44.1までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/415bfddb-5223-439f-8a08-535f79631ff0

プラグイン: Responsive Lightbox & Gallery

対象製品Responsive Lightbox & Gallery
対象バージョン2.5.0までの全てのバージョン
脆弱性概要認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/86a41cdf-8d7a-4d62-9370-8bdf4a259819

プラグイン: Simple Lightbox

対象製品Simple Lightbox
対象バージョン2.9.3までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/8c10e7f5-91e7-48c8-8c84-b61138ac1665

プラグイン: Relevanssi

対象製品Relevanssi
対象バージョン2.27.6までの全てのバージョン (Premium)
4.24.5までの全てのバージョン (Free)
脆弱性概要認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/ffb2ade3-d5ce-4459-ab83-e28cd4c84922

総括

この期間内に報告された脆弱性6件のうち、2件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、4件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。

今週も引き続き5件の脆弱性が Cross-Site Scripting (XSS) に対する脆弱性でした。
Relevanssiは以前に続いて再び脆弱性が報告されています。利用している場合は速やかにアップデートをしてください。

Broken Link Checkerの脆弱性である「プラグインのステータスを見る」は一見問題がないもののように見えます。
しかし、プラグインのステータスの確認はWordPressでは管理者権限でないと見えないものです。これが購読者 (認証ユーザーの中では最も権限が低いユーザー) でも見えてしまうことが問題となっています。
複数のユーザーを登録しているサイトでは、各ユーザーに適切な権限のみを付与しているか、確認するようにしてください。

Security Advisory for WordPress はメールでも配信しています。
こちらからお申し込みください:https://www.prime-strategy.co.jp/mail-magazine/

kusanagi-mod_security モジュール更新情報 2.9.10-1

kusanagi-mod_security_crs モジュール更新情報 4.15.0-1

KUSANAGI Open Source Licenses | KUSANAGI Business Edition, Premium Edition, Security Edition End-User License Agreement

KUSANAGI ロゴ使用ガイドライン | プライバシーポリシ | 脆弱性情報公開ポリシー | お問い合わせ

© 2015 - 2025 Prime Strategy Co., Ltd. All rights reserved

超高速CMS実行環境 KUSANAGI
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.