WordPress テーマ・プラグイン 脆弱性情報のまとめ(2025/07/10-2025/07/16)

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

  • 期間: 2025/07/10-2025/07/16 に報告があったもの
  • 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
    • WordPress.orgにおける "Active installations" が 10万 以上である
    • 日本語の翻訳に対応している

深刻度が高い脆弱性: 0件

なし

他の脆弱性: 2件

プラグイン: OceanWP

対象製品OceanWP
対象バージョン3.6.0までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd

この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。

プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate

対象製品WP Shortcodes Plugin — Shortcodes Ultimate
対象バージョン7.4.2までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd

この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。

総括

この期間内に報告された脆弱性2件のうち、認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性は0件で、2件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。

Ocean WP および WP Shortcodes Pluginの脆弱性 (プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるもの) は前々回報告されていたものの更新版になります。

繰り返しになってはしまいますが、Ocean WP および WP Shortcodes Pluginの脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものでした。こちらで取り上げていないWordPressのプラグインにおいても、同じJavaScriptライブラリを同梱しているものがあります。また、該当するWordPressのプラグインとして使っていなくても、Web制作の一環でJavaScriptライブラリを利用している場合があるかもしれません。

JavaScriptライブラリに起因する脆弱性情報が出た際には、他で同じJavaScriptライブラリを使っている環境がないか、横展開するようにしてください。

Security Advisory for WordPress はメールでも配信しています。
こちらからお申し込みください:https://www.prime-strategy.co.jp/mail-magazine/

超高速CMS実行環境 KUSANAGI
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.