WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/06/19-2025/06/25 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 2.8.0から2.8.3までの全てのバージョン |
| 修正バージョン | 2.8.4 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | WordPress 用プラグインは、バージョン 2.8.0 から 2.8.3 において、 'Meow_MWAI_Labs_MCP::can_access_mcp' 関数の権限チェックが欠落しているため、データの不正な改変や消失する脆弱性があります。 攻撃者が購読者以上の権限を持つユーザーで認証済の場合に、MCP にフルアクセスして特権の昇格に使用可能な 'wp_create_user'、 'wp_update_user'、 'wp_update_option' や、投稿やコメントの編集・削除に使用可能な 'wp_update_post'、 'wp_delete_post'、 'wp_update_comment'、 'wp_delete_comment' などの様々なコマンドを実行することが可能になります。 |
| 対応方法 | 2.8.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-5071 |
| 公開日 | 2025-06-18 00:00:00 (2025-06-19 09:23:48更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0e7654a1-0020-4bf1-86be-bdb238a9fe0d |
他の脆弱性: 6件
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.18までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/029956d7-6e3f-4159-9f53-05691e0262fc |
プラグイン: File Manager Pro
| 対象製品 | File Manager Pro |
| 対象バージョン | 1.8.8までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/23fc3221-73b0-4407-a5d7-f145c3dbc1e6 |
テーマ: OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 4.0.9までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/37b085f9-3b15-44aa-9ba0-de5321dfbce4 |
プラグイン: Elementor Website Builder
| 対象製品 | Elementor Website Builder |
| 対象バージョン | 3.29.0までの全てのバージョン (Elementor Website Builder Pro) 3.29.0までの全てのバージョン (Elementor Website Builder) |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/473bef81-b2c9-429c-aa23-c2dba0908cc3 |
プラグイン: Firelight Lightbox
| 対象製品 | Firelight Lightbox |
| 対象バージョン | 2.3.16までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b620b10c-0d76-4ecf-9ab9-9bc5f9687a4a |
プラグイン: ElementsKit Elementor Addons and Templates
| 対象製品 | ElementsKit Elementor Addons and Templates |
| 対象バージョン | 3.5.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c2995828-8a3e-400d-9e2b-aba8fd17cf00 |
総括
この期間内に報告された脆弱性は7件のうち、認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性はなく、全てとも少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。引き続き、ユーザーログインを強固にすることが重要です。
AI Engineの脆弱性は前回報告されていたものの更新版になります。
WordPressの権限グループと権限については、前回の内容を参照ください。
引き続き、サイトを複数のユーザーで管理している場合は、管理者といった特権ユーザーは最小限にするなど、ユーザーの権限の見直しを行うようにしてください。
