WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/07/03-2025/07/09 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 2件
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 2.8.4 |
| 修正バージョン | 2.8.5 |
| CVSS | 高 (8) |
| 脆弱性概要 | 2.8.4にopen redirectの脆弱性が存在します。これは OAuth の実装が安全でないためで、 'redirect_uri' パラメータが認可フロー中に検証されません。 認証されていない攻撃者が認証コードを傍受し、攻撃者が管理する URI にユーザーをリダイレクトしてアクセストークンを取得することが可能です。なお、OAuth が無効化されている場合、パッチが適用されたバージョン 2.8.5 では 'Meow_MWAI_Labs_OAuth' クラスはプラグインにロードされません。 |
| 対応方法 | 2.8.5以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-6238 |
| 公開日 | 2025-07-03 00:00:00 (2025-07-04 01:44:02更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1edc84fd-8cb5-4899-9444-1b6ae3144917 |
プラグイン: Migration, Backup, Staging
| 対象製品 | Migration, Backup, Staging |
| 対象バージョン | 0.9.116までの全てのバージョン |
| 修正バージョン | 0.9.117 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 0.9.116 までの全てのバージョンにおいて、 'wpvivid_upload_import_files' 関数にファイルタイプ検証の欠落があるため、任意のファイルをアップロードされる脆弱性が存在します。 攻撃者が管理者レベル以上の権限で認証済の場合に、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 なお、アップロードされたファイルは、NGINX ウェブサーバ上で動作する WordPress インスタンス上でのみアクセス可能です。これは、ターゲットファイルアップロードフォルダ内の既存の .htaccess が Apache サーバ上でのアクセスを防止しているためです。 |
| 対応方法 | 0.9.117以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-5961 |
| 公開日 | 2025-07-03 00:35:32 (2025-07-03 13:44:12更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d8ceb4a1-9354-4ed3-9a8f-45ba2057a810 |
他の脆弱性: 9件
プラグイン: Contact Form 7 Database Addon
| 対象製品 | Contact Form 7 Database Addon |
| 対象バージョン | 1.3.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/014803c8-3319-48ad-98c7-d1f372d37ff2 |
プラグイン: Firelight Lightbox
| 対象製品 | Firelight Lightbox |
| 対象バージョン | 2.3.15までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/05c44865-26ba-44c1-8ffd-bf28c0463a54 |
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 2.8.4までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a32dcf96-ec75-46b1-8f1d-608411ad5147 |
プラグイン: Ocean Extra
| 対象製品 | Ocean Extra |
| 対象バージョン | 2.4.8までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ba798567-4a6e-4bbc-bd79-e1351af2ad4e |
プラグイン: OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 3.6.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
プラグイン: Responsive Lightbox & Gallery
| 対象製品 | Responsive Lightbox & Gallery |
| 対象バージョン | 2.5.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e290e142-bd18-4441-b3d0-1a84e1faeaf7 |
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/fbd67145-5b95-4890-a265-1dd7a029aec6 |
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.2.8.2までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、投稿タイトルや、保留中、非公開、下書き投稿の ID を含む、潜在的な機密情報を抽出することができる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/fc40196e-c0f3-4bc6-ac4b-b866902def61 |
総括
この期間内に報告された脆弱性11件のうち、3件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、8件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
AI EngineではOAuthに脆弱性が見付かっています。早急に対応するようにしてください。
Ocean WP および WP Shortcodes Pluginの脆弱性 (プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるもの) は前回報告されていたものの更新版になります。
