WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/07/17-2025/07/23 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 3件
プラグイン: Ads.txt Manager
| 対象製品 | Ads.txt Manager |
| 対象バージョン | 1.4.2までの全てのバージョン |
| 修正バージョン | 1.4.3 |
| CVSS | 高 (8.1) |
| 脆弱性概要 | 使用している simple-git パッケージの3.16.0以前のバージョンにおいて、clone()、pull()、push()、およびlistRemote()メソッドを通じてリモートコード実行の脆弱性があります。これは、CVE-2022-25912の修正が不完全であったためです。 WordPressのプラグインやテーマはこのパッケージを使用している可能性がありますが、必ずしも脆弱性にさらされているわけではありません。 |
| 対応方法 | 1.4.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2022-25860 |
| 公開日 | 2023-02-23 00:00:00 (2025-07-18 23:41:21更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/46fdd494-8073-4a68-a4ab-1f5767011f67 |
この脆弱性は、プラグインが同梱するnode.jsライブラリ simple-git 3.16.0 に存在する脆弱性によるものです。
プラグイン: Simple Local Avatars
| 対象製品 | Simple Local Avatars |
| 対象バージョン | 2.7.3までの全てのバージョン |
| 修正バージョン | 2.7.4 |
| CVSS | 高 (8.1) |
| 脆弱性概要 | 使用している simple-git パッケージの3.16.0以前のバージョンにおいて、clone()、pull()、push()、およびlistRemote()メソッドを通じてリモートコード実行の脆弱性があります。これは、CVE-2022-25912の修正が不完全であったためです。 WordPressのプラグインやテーマはこのパッケージを使用している可能性がありますが、必ずしも脆弱性にさらされているわけではありません。 |
| 対応方法 | 2.7.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2022-25860 |
| 公開日 | 2023-02-23 00:00:00 (2025-07-18 23:41:21更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/46fdd494-8073-4a68-a4ab-1f5767011f67 |
この脆弱性は、プラグインが同梱するnode.jsライブラリ simple-git 3.16.0 に存在する脆弱性によるものです。
プラグイン: Post SMTP
| 対象製品 | Post SMTP |
| 対象バージョン | 3.2.0までの全てのバージョン |
| 修正バージョン | 3.3.0 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 3.2.0までの全てのバージョンに、get_details()関数における権限チェックの欠如により、アカウント乗っ取りによる特権昇格の脆弱性が存在します。 攻撃者が購読者以上の権限を持つユーザーで認証済みの場合に、パスワードリセットの詳細を含むメールログにアクセス可能となり、管理者を含むすべてのユーザーのアカウント乗っ取りにつながる可能性があります。 |
| 対応方法 | 3.3.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-24000 |
| 公開日 | 2025-07-21 00:00:00 (2025-07-23 20:16:39更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e61396d0-9396-449c-b8c4-53fc4e2c57bb |
他の脆弱性: 7件
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 2.9.4までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、ウェブサーバー上の任意のファイルを読み取り、プラグインのOpenAI API統合経由で外部に漏洩させる可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/513274bc-3016-4adb-be78-b13c5fae9c03 |
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、サイト管理者を騙してリンクをクリックするといったアクションを実行させることで、任意のショートコードを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5934d1c8-1553-4908-aaab-89d2189eb4cd |
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.45.0までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、既存のSQLクエリに追加のSQLクエリを挿入し、データベースから機密情報を抽出するために利用可能なクエリを作成することが可能になる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5f5a1eb3-3fda-49de-aefb-2205c9ca3520 |
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/62d32cda-bb6d-4ffa-82b9-f2f6e8d4346f |
プラグイン: OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 3.6.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/deba0a29-7fe5-4f94-bee6-9d01e023215e |
総括
この期間内に報告された脆弱性10件のうち、1件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、7件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
また、2件は使用しているパッケージに脆弱性が含まれてはいるものの、具体的にプラグインにどのような影響があるかは示されていません。
Ads.txt ManagerおよびSimple Local Avatarsの脆弱性は、プラグインが同梱するnode.jsライブラリ simple-git 3.16.0 に存在する脆弱性によるものです。また、こちらで取り上げていないWordPressのプラグインにおいても、同じnode.jsライブラリを同梱しているものがあります。上記の通り、影響については明確に示されていませんが、早急に対応するようにしてください。
JavaScriptライブラリに限らず、node.jsライブラリなど同梱するライブラリに起因する脆弱性情報が出た際には、他で同じライブラリを使っている環境がないか、横展開するようにしてください。
WP Shortcodes Pluginは、これまでも報告されているプラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性に加えて、複数の脆弱性が報告されています。プラグインで脆弱性が指摘された際には、その脆弱性を修正した後に横展開で別の脆弱性が報告されることがあります。一度アップデートを完了したから安心ということはなく、継続してアップデートをしていくことが重要です。
