WordPress テーマ・プラグイン 脆弱性情報のまとめ(2025/06/26-2025/07/02)

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

  • 期間: 2025/06/26-2025/07/02 に報告があったもの
  • 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
    • WordPress.orgにおける "Active installations" が 10万 以上である
    • 日本語の翻訳に対応している

深刻度が高い脆弱性: 2件

プラグイン: Forminator Forms

対象製品Forminator Forms
対象バージョン1.44.2までの全てのバージョン
修正バージョン1.44.3
CVSS高 (7.5)
脆弱性概要1.44.2までの全てのバージョンに、'entry_delete_upload_files' 関数で信頼できない入力をデシリアライズすることにより、PHP オブジェクトインジェクションの脆弱性が存在します。
認証されていない攻撃者が、PHARファイルを介してPHPオブジェクトを挿入できます。
なお、このプラグイン単体にはPOPチェインはありません。つまり、ウェブサイトにPOPチェインを持つ他のプラグインやテーマが存在しない限り、この脆弱性の影響はありません。
もしも、他にインストールされたプラグインやテーマにPOPチェインが存在する場合、攻撃者はそのPOPチェインによっては任意のファイルを削除したり、機密性のデータを取得したり、PHPコードを実行したりすることができます。
なお、デシリアライズは、管理者によるかプラグインの設定による自動削除で、フォーム投稿が削除されたときに起きます。
対応方法1.44.3以降にアップデートする
CVEhttps://www.cve.org/CVERecord?id=CVE-2025-6464
公開日2025-07-01 17:04:22 (2025-07-02 05:29:18更新)
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/6707aa4c-c652-42c0-bdb9-00be984e7271

プラグイン: Forminator Forms

対象製品Forminator Forms
対象バージョン1.44.2までの全てのバージョン
修正バージョン1.44.3
CVSS高 (8.8)
脆弱性概要1.44.2までの全てのバージョンに、'entry_delete_upload_files' 関数のファイルパス検証が不十分なため、任意のファイルを削除される脆弱性が存在します。
認証されていない攻撃者が、任意のファイルパスをフォーム送信に含めることが可能です。このファイルは、管理者によるかプラグインの設定による自動削除であるかに関わらず、 フォーム投稿が削除されたときに削除されます。このため、適切なファイル (wp-config.php など) が削除されると、リモートでコードを実行される可能性があります。
対応方法1.44.3以降にアップデートする
CVEhttps://www.cve.org/CVERecord?id=CVE-2025-6463
公開日2025-07-01 16:22:05 (2025-07-02 04:24:57更新)
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/6dc9b4cb-d36b-4693-a7b9-1dad123b6639

他の脆弱性: 4件

プラグイン: Smash Balloon Social Photo Feed

対象製品Smash Balloon Social Photo Feed
対象バージョン6.9.0までの全てのバージョン (Smash Balloon Social Photo Feed)
6.8.0までの全てのバージョン (Smash Balloon Instagram Feed Pro)
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/23e47daa-79e7-4ed3-a88a-0f090e9aa277

プラグイン: Ninja Forms

対象製品Ninja Forms
対象バージョン3.10.2.1までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/92d106c6-a910-4f41-94d1-59f6b7f3aeb0

プラグイン: OceanWP

対象製品OceanWP
対象バージョン3.6.0までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd

この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。

プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate

対象製品WP Shortcodes Plugin — Shortcodes Ultimate
対象バージョン7.4.2までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd

この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。

総括

この期間内に報告された脆弱性7件のうち、2件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、4件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。

Forminator Formsの脆弱性は認証していない攻撃者よってリモートコードが実行されるリスクがあるものです。早急に対応するようにしてください。

Ocean WP および WP Shortcodes Pluginの脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。こちらで取り上げていないWordPressのプラグインにおいても、同じJavaScriptライブラリを同梱しているものがあります。また、該当するWordPressのプラグインとして使っていなくても、Web制作の一環でJavaScriptライブラリを利用している場合があるかもしれません。こういったJavaScriptライブラリに起因する脆弱性情報が出た際には、他で同じJavaScriptライブラリを使っている環境がないか、横展開するようにしてください。

Security Advisory for WordPress はメールでも配信しています。
こちらからお申し込みください:https://www.prime-strategy.co.jp/mail-magazine/

超高速CMS実行環境 KUSANAGI
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.