WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/08/14-2025/08/20 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 0件
なし
他の脆弱性: 14件
プラグイン: WP Statistics
| 対象製品 | WP Statistics |
| 対象バージョン | 14.15までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、承認されていないアクションを実行することが可能になる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/263029e3-68ef-416b-97f4-187647b9502d |
プラグイン: FiboSearch
| 対象製品 | FiboSearch |
| 対象バージョン | 1.17.0までの全てのバージョン |
| 脆弱性概要 | Cross-Site Request Forgery (CSRF) および機密情報が漏洩するリスクがある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/39fb0499-9ab4-4a2f-b0db-ece86bcf4d42 |
この脆弱性は、プラグインが同梱するPHPライブラリ Freemius SDK 2.4.2 までの全てのバージョンに存在する脆弱性によるものです。Freemius SDK 2.4.3より前のバージョンを実行しているWordPressプラグイン、または、テーマにはこの脆弱性があります。
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 5.14.0.4までの全てのバージョン |
| 脆弱性概要 | Cross-Site Request Forgery (CSRF) および機密情報が漏洩するリスクがある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/39fb0499-9ab4-4a2f-b0db-ece86bcf4d42 |
この脆弱性は、プラグインが同梱するPHPライブラリ Freemius SDK 2.4.2 までの全てのバージョンに存在する脆弱性によるものです。Freemius SDK 2.4.3より前のバージョンを実行しているWordPressプラグイン、または、テーマにはこの脆弱性があります。
プラグイン: CAPTCHA 4WP
| 対象製品 | CAPTCHA 4WP |
| 対象バージョン | 7.0.5までの全てのバージョン |
| 脆弱性概要 | Cross-Site Request Forgery (CSRF) および機密情報が漏洩するリスクがある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/39fb0499-9ab4-4a2f-b0db-ece86bcf4d42 |
この脆弱性は、プラグインが同梱するPHPライブラリ Freemius SDK 2.4.2 までの全てのバージョンに存在する脆弱性によるものです。Freemius SDK 2.4.3より前のバージョンを実行しているWordPressプラグイン、または、テーマにはこの脆弱性があります。
プラグイン: Menu Image, Icons made easy
| 対象製品 | Menu Image, Icons made easy |
| 対象バージョン | 3.0.6までの全てのバージョン |
| 脆弱性概要 | Cross-Site Request Forgery (CSRF) および機密情報が漏洩するリスクがある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/39fb0499-9ab4-4a2f-b0db-ece86bcf4d42 |
この脆弱性は、プラグインが同梱するPHPライブラリ Freemius SDK 2.4.2 までの全てのバージョンに存在する脆弱性によるものです。Freemius SDK 2.4.3より前のバージョンを実行しているWordPressプラグイン、または、テーマにはこの脆弱性があります。
プラグイン: WP Activity Log
| 対象製品 | WP Activity Log |
| 対象バージョン | 4.4.0までの全てのバージョン |
| 脆弱性概要 | Cross-Site Request Forgery (CSRF) および機密情報が漏洩するリスクがある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/39fb0499-9ab4-4a2f-b0db-ece86bcf4d42 |
この脆弱性は、プラグインが同梱するPHPライブラリ Freemius SDK 2.4.2 までの全てのバージョンに存在する脆弱性によるものです。Freemius SDK 2.4.3より前のバージョンを実行しているWordPressプラグイン、または、テーマにはこの脆弱性があります。
プラグイン: Ocean Extra
| 対象製品 | Ocean Extra |
| 対象バージョン | 1.9.4までの全てのバージョン |
| 脆弱性概要 | Cross-Site Request Forgery (CSRF) および機密情報が漏洩するリスクがある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/39fb0499-9ab4-4a2f-b0db-ece86bcf4d42 |
この脆弱性は、プラグインが同梱するPHPライブラリ Freemius SDK 2.4.2 までの全てのバージョンに存在する脆弱性によるものです。Freemius SDK 2.4.3より前のバージョンを実行しているWordPressプラグイン、または、テーマにはこの脆弱性があります。
テーマ: Blocksy
| 対象製品 | Blocksy |
| 対象バージョン | 2.1.6までの全てのバージョン |
| 脆弱性概要 | ショップマネージャー以上の権限を持つユーザーで認証済みの場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3e7105d3-3208-4964-8d21-172059cbbd63 |
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 2.9.4までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、ウェブサーバー上の任意のファイルを読み取り、プラグインのOpenAI API統合機能を通じてそのファイルを外部に流出させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/513274bc-3016-4adb-be78-b13c5fae9c03 |
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.5.0までの全てのバージョン |
| 脆弱性概要 | GiveWP Worker以上の権限を持つユーザーで認証済みの場合に、寄付のステータスを更新することが可能となる。この機能はユーザーインターフェースには存在しない。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8766608e-df72-4b9d-a301-a50c64fadc9a |
プラグイン: Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content
| 対象製品 | Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content |
| 対象バージョン | 4.16.4までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、任意のショートコードを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9309b8bf-f581-4a56-a1ed-3941ebb36127 |
プラグイン: OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 3.6.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 ※上記とは異なる脆弱性です。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/deba0a29-7fe5-4f94-bee6-9d01e023215e |
総括
この期間内に報告された脆弱性14件のうち、1件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、6件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。また、5件はプラグインが同梱しているPHPライブラリ Freemius SDK の脆弱性を報告するもので、それによる具体的な影響はまだ公開されていません。
今回は PHPライブラリ Freemius SDK による Cross-Site Request Forgery (CSRF) および機密情報が漏洩するリスクが報告されています。
Freemius SDKはWordPressのプラグインやSaaSを販売する仕組みを提供するPHPライブラリで、有償版などを提供しているWordPressのプラグインやテーマで広く利用されています。上記の5件はそのうちの一部であり、Freemius SDKを同梱している有償版のWordPressプラグインや他のプラグインも多く存在します。
影響を受ける全てのプラグインのリストは、詳細にあるリンクを参照してください。
このプラグインによる具体的な影響についてはまだ公開されていませんが、アップデートが提供されている場合は更新することをお勧めします。
また、WordPressのプラグインとして使用していなかったとしても、別のPHPのプロジェクトでFreemius SDKを使用している環境がないか横展開をしてください。
