WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/05/29-2025/06/04 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 0件
なし
他の脆弱性: 6件
プラグイン: Smash Balloon Social Photo Feed
| 対象製品 | Smash Balloon Social Photo Feed |
| 対象バージョン | 6.9.0までの全てのバージョン (Smash Balloon Social Photo Feed) 6.8.0までの全てのバージョン (Smash Balloon Instagram Feed Pro) |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/23e47daa-79e7-4ed3-a88a-0f090e9aa277 |
プラグイン: Broken Link Checker
| 対象製品 | Broken Link Checker |
| 対象バージョン | 2.4.4までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、プラグインのステータスを見ることができる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/33ac910c-9531-45ea-84cf-1d379233f7d3 |
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.44.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/415bfddb-5223-439f-8a08-535f79631ff0 |
プラグイン: Responsive Lightbox & Gallery
| 対象製品 | Responsive Lightbox & Gallery |
| 対象バージョン | 2.5.0までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/86a41cdf-8d7a-4d62-9370-8bdf4a259819 |
プラグイン: Simple Lightbox
| 対象製品 | Simple Lightbox |
| 対象バージョン | 2.9.3までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8c10e7f5-91e7-48c8-8c84-b61138ac1665 |
プラグイン: Relevanssi
| 対象製品 | Relevanssi |
| 対象バージョン | 2.27.6までの全てのバージョン (Premium) 4.24.5までの全てのバージョン (Free) |
| 脆弱性概要 | 認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ffb2ade3-d5ce-4459-ab83-e28cd4c84922 |
総括
この期間内に報告された脆弱性6件のうち、2件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、4件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今週も引き続き5件の脆弱性が Cross-Site Scripting (XSS) に対する脆弱性でした。
Relevanssiは以前に続いて再び脆弱性が報告されています。利用している場合は速やかにアップデートをしてください。
Broken Link Checkerの脆弱性である「プラグインのステータスを見る」は一見問題がないもののように見えます。
しかし、プラグインのステータスの確認はWordPressでは管理者権限でないと見えないものです。これが購読者 (認証ユーザーの中では最も権限が低いユーザー) でも見えてしまうことが問題となっています。
複数のユーザーを登録しているサイトでは、各ユーザーに適切な権限のみを付与しているか、確認するようにしてください。
