WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/07/31-2025/08/06 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 2.9.3から2.9.4までの全てのバージョン |
| 修正バージョン | 2.9.5 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 2.9.3および2.9.4のバージョンにおいて、rest_simpleFileUpload()関数でファイルタイプの検証が欠如しているため、任意のファイルがアップロードされる脆弱性があります。 攻撃者が購読者権限以上の権限を持つユーザーで認証済みの場合に、REST APIが有効化されているサイトに任意のファイルをアップロードすることが可能となり、リモートコード実行のリスクが生じる可能性があります。 |
| 対応方法 | 2.9.5以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-7847 |
| 公開日 | 2025-07-30 16:06:38 (2025-07-31 04:26:20更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1c1c7ec9-d01f-433d-abec-dc2b6ff684c7 |
他の脆弱性: 6件
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.5.0までの全てのバージョン |
| 脆弱性概要 | GiveWP worker以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。そのためには、管理者を騙してサイトの古いバージョンを訪問させる必要がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/39e501d8-88a0-4625-aeb0-aa33fc89a8d4 |
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.6.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ドナーの名前、メールアドレス、ドナーIDを取り出すことができる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6dc7c5a6-513e-4aa8-9538-0ac6fb37c867 |
プラグイン: Ultimate Addons for Elementor (Formerly Elementor Header & Footer Builder)
| 対象製品 | Ultimate Addons for Elementor (Formerly Elementor Header & Footer Builder) |
| 対象バージョン | 2.4.6までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、互換性オプション (compatibility option setting) を更新することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a4b847b5-9deb-41c4-b976-725249e0098e |
プラグイン: FileBird
| 対象製品 | FileBird |
| 対象バージョン | 6.4.8までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、既存のSQLクエリに追加のSQLクエリを挿入し、データベースから機密情報を抽出するために利用可能なクエリを作成することが可能になる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ce70da8e-7273-4eca-b187-2db7c36f1a50 |
プラグイン: OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 3.6.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
総括
この期間内に報告された脆弱性7件のうち、1件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、6件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
AI Engine、Ocean WP および WP Shortcodes Pluginの脆弱性はそれぞれ、これまでに報告されているものの更新版となります。
既にアップデートを行っているとは思いますが、未対応の場合には最新版を使うようにアップデートを継続することが重要です。
