WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/06/26-2025/07/02 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 2件
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.44.2までの全てのバージョン |
| 修正バージョン | 1.44.3 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 1.44.2までの全てのバージョンに、'entry_delete_upload_files' 関数で信頼できない入力をデシリアライズすることにより、PHP オブジェクトインジェクションの脆弱性が存在します。 認証されていない攻撃者が、PHARファイルを介してPHPオブジェクトを挿入できます。 なお、このプラグイン単体にはPOPチェインはありません。つまり、ウェブサイトにPOPチェインを持つ他のプラグインやテーマが存在しない限り、この脆弱性の影響はありません。 もしも、他にインストールされたプラグインやテーマにPOPチェインが存在する場合、攻撃者はそのPOPチェインによっては任意のファイルを削除したり、機密性のデータを取得したり、PHPコードを実行したりすることができます。 なお、デシリアライズは、管理者によるかプラグインの設定による自動削除で、フォーム投稿が削除されたときに起きます。 |
| 対応方法 | 1.44.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-6464 |
| 公開日 | 2025-07-01 17:04:22 (2025-07-02 05:29:18更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6707aa4c-c652-42c0-bdb9-00be984e7271 |
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.44.2までの全てのバージョン |
| 修正バージョン | 1.44.3 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 1.44.2までの全てのバージョンに、'entry_delete_upload_files' 関数のファイルパス検証が不十分なため、任意のファイルを削除される脆弱性が存在します。 認証されていない攻撃者が、任意のファイルパスをフォーム送信に含めることが可能です。このファイルは、管理者によるかプラグインの設定による自動削除であるかに関わらず、 フォーム投稿が削除されたときに削除されます。このため、適切なファイル (wp-config.php など) が削除されると、リモートでコードを実行される可能性があります。 |
| 対応方法 | 1.44.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-6463 |
| 公開日 | 2025-07-01 16:22:05 (2025-07-02 04:24:57更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6dc9b4cb-d36b-4693-a7b9-1dad123b6639 |
他の脆弱性: 4件
プラグイン: Smash Balloon Social Photo Feed
| 対象製品 | Smash Balloon Social Photo Feed |
| 対象バージョン | 6.9.0までの全てのバージョン (Smash Balloon Social Photo Feed) 6.8.0までの全てのバージョン (Smash Balloon Instagram Feed Pro) |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/23e47daa-79e7-4ed3-a88a-0f090e9aa277 |
プラグイン: Ninja Forms
| 対象製品 | Ninja Forms |
| 対象バージョン | 3.10.2.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/92d106c6-a910-4f41-94d1-59f6b7f3aeb0 |
プラグイン: OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 3.6.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
総括
この期間内に報告された脆弱性7件のうち、2件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、4件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
Forminator Formsの脆弱性は認証していない攻撃者よってリモートコードが実行されるリスクがあるものです。早急に対応するようにしてください。
Ocean WP および WP Shortcodes Pluginの脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。こちらで取り上げていないWordPressのプラグインにおいても、同じJavaScriptライブラリを同梱しているものがあります。また、該当するWordPressのプラグインとして使っていなくても、Web制作の一環でJavaScriptライブラリを利用している場合があるかもしれません。こういったJavaScriptライブラリに起因する脆弱性情報が出た際には、他で同じJavaScriptライブラリを使っている環境がないか、横展開するようにしてください。
