WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/08/21-2025/08/27 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 0件
なし
他の脆弱性: 7件
プラグイン: Advanced Custom Fields (ACF®)
| 対象製品 | Advanced Custom Fields (ACF®) |
| 対象バージョン | 6.4.2までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、悪意のあるHTMLを注入することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0f5a48ec-da62-4a9d-a8a5-30da7b6d23f6 |
プラグイン: Advanced Custom Fields (ACF®)
| 対象製品 | Advanced Custom Fields (ACF®) |
| 対象バージョン | 3.5.1までの全てのバージョン |
| 脆弱性概要 | export.phpスクリプトを介したリモートファイルインクルードおよびリモートコード実行が可能となる。 この攻撃は、PHPオプション allow_url_include がOnに設定されている場合にのみ有効。 (デフォルトはOff) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3dfba044-42f8-44a2-be62-99af9d9094c3 |
プラグイン: All-in-One WP Migration and Backup
| 対象製品 | All-in-One WP Migration and Backup |
| 対象バージョン | 7.97までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 これはマルチサイト環境、および、unfilterd_htmlが無効化されている環境でのみ発生する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/85930893-d415-4131-bcda-54a20644eddc |
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.5.0までの全てのバージョン |
| 脆弱性概要 | GiveWP Worker以上の権限を持つユーザーで認証済みの場合に、寄付のステータスを更新することが可能となる。この機能はユーザーインターフェースには存在しない。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8766608e-df72-4b9d-a301-a50c64fadc9a |
プラグイン: Beaver Builder
| 対象製品 | Beaver Builder |
| 対象バージョン | 2.9.2.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするといったアクションを実行させることで、実行される任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/93504959-2154-4b8c-a7d1-c982bdc8d034 |
テーマ: OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 4.0.9から4.1.1までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、サイト管理者を騙してリンクをクリックするといったアクションを実行させることで、偽造されたリクエストを通じてOcean Extraプラグインをインストールすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9c6f9a3d-54a6-4405-b42b-37fc8342af96 |
プラグイン: WP Crontrol
| 対象製品 | WP Crontrol |
| 対象バージョン | 1.17.0から1.19.1までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、Webアプリケーションから発信する任意の場所へのWebリクエストを実行できるようになり、内部サービスからの情報の照会や変更に悪用できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ab40146d-9b49-4214-af73-41c5b5512542 |
総括
この期間内に報告された脆弱性7件のうち、2件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、5件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。また、1件は具体的に必要となる権限が公開されていません。
今回は比較的よく使われているプラグインの1つである Advanced Custom Fields に脆弱性が見付かっています。
管理者以上の権限が必要であるなど即座に影響が出るものではありませんが、できるだけアップデートを適用することをお勧めします。
また、 Advanced Custom Fields の脆弱性で指摘されているPHPオプション allow_url_include ですが、KUSANAGIでもデフォルトは Off となっています。
現在のオプションがどの値に設定されているか確認する場合、コマンドであれば php -i を実行します。以下の例では Off になっています。
# php -i
phpinfo()
PHP Version => 8.3.24
(略)
allow_url_include => Off => Off
(略)あるいは phpinfo() 関数を記述したスクリプトをWebサイトで実行することでも同様に確認できます。ただし、このスクリプトを公開しておくことでサイトの設定が漏洩しますので、確認後に速やかに削除するようにしてください。
