WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/06/05-2025/06/11 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 0件
なし
他の脆弱性: 7件
プラグイン: LiteSpeed Cache
| 対象製品 | LiteSpeed Cache |
| 対象バージョン | 6.4.1までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/051a987a-944a-4898-872b-0456f0f59b27 |
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.3.5までの全てのバージョン(WP Shortcodes Plugin — Shortcodes Ultimate) |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/11419311-4369-4882-9841-9523571b2d35 |
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.44.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/415bfddb-5223-439f-8a08-535f79631ff0 |
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.13.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/56822fe5-352c-4269-9fab-d8c796362b74 |
プラグイン: Social Sharing Plugin
| 対象製品 | Social Sharing Plugin |
| 対象バージョン | 3.3.75までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、ユーザーを騙してリンクをクリックするといったアクションを実行させることで、任意のウェブスクリプトをページに挿入することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/99e922ec-d40a-47e7-a10f-d966a351d182 |
プラグイン: WP-Optimize
| 対象製品 | WP-Optimize |
| 対象バージョン | 4.1.1までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、既存のSQLクエリーに追加のSQLクエリーを付加することで機密情報をデータベースから抜き出すことができる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d524b859-b61c-4c52-b4b3-76f2983c085a |
プラグイン: Smash Balloon Social Post Feed
| 対象製品 | Smash Balloon Social Post Feed |
| 対象バージョン | 4.3.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ec3de7e2-4a29-401f-af2c-0ce78d768eae |
総括
この期間内に報告された脆弱性7件のうち、1件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、6件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今週も引き続き6件の脆弱性が Cross-Site Scripting (XSS) に対する脆弱性です。
XSSについては、以前の解説を参考にしてください。
