WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/08/07-2025/08/13 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 0件
なし
他の脆弱性: 7件
プラグイン: Elementor Website Builder
| 対象製品 | Elementor Website Builder |
| 対象バージョン | 3.30.2までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、機密情報が含まれている可能性があるサーバー上の任意のファイルの内容を読み取ることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/13929b51-b32e-401c-a642-49f7cd2d07bf |
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、サイト管理者を騙してリンクをクリックするといったアクションを実行させることで、任意のショートコードを実行することが可能となる。CVE-2025-7354と組み合わさると、Reflected Cross-Site Scripting (Reflected XSS) が発生する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5934d1c8-1553-4908-aaab-89d2189eb4cd |
プラグイン: Simple Local Avatars
| 対象製品 | Simple Local Avatars |
| 対象バージョン | 2.8.4までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、すべてのユーザーのアバターメタデータを移行することが可能になる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/69d78334-2b38-43ee-acf6-c073d5826213 |
テーマ: OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 4.0.9から4.1.1までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、サイト管理者を騙してリンクをクリックするといったアクションを実行させることで、偽造されたリクエストを通じてOcean Extraプラグインをインストールすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9c6f9a3d-54a6-4405-b42b-37fc8342af96 |
プラグイン: File Manager Pro
| 対象製品 | File Manager Pro |
| 対象バージョン | 5.3.6までの全てのバージョン (Advanced File Manager – Ultimate WP File Manager And Document Library Solution) 1.8.9までの全てのバージョン (File Manager Pro – Filester) 8.4.2までの全てのバージョン (File Manager Pro) |
| 脆弱性概要 | 認証していない攻撃者が、任意のファイルを削除することが可能になる。この脆弱性を悪用するには、サイト管理者がファイルマネージャーのインスタンスをユーザーに明示的に提供している必要がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c2a166de-3bdf-4883-91ba-655f2757c53b |
プラグイン: OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 3.6.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
総括
この期間内に報告された脆弱性7件のうち、2件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、5件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
OceanWPとWP Shortcodes Pluginにはこれまでも報告されている脆弱性に加えて、複数の脆弱性が報告されています。既にアップデートを実施したから安心ということはなく、継続してアップデートをしていくことが重要です。
