WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/08/28-2025/09/03 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 0件
なし
他の脆弱性: 6件
プラグイン: Ocean Extra
| 対象製品 | Ocean Extra |
| 対象バージョン | 2.4.9までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/290e9d95-0dac-4cc8-8cef-9e7974405f36 |
プラグイン: TablePress
| 対象製品 | TablePress |
| 対象バージョン | 3.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2b24ae23-d055-4740-bd86-126d503fce1b |
プラグイン: Post SMTP
| 対象製品 | Post SMTP |
| 対象バージョン | 3.4.1までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、Pro版の拡張を有効化できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/65914bbf-6563-4bf2-a358-885e182a1365 |
プラグイン: Beaver Builder
| 対象製品 | Beaver Builder |
| 対象バージョン | 2.9.2.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするといったアクションを実行させることで、実行される任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/93504959-2154-4b8c-a7d1-c982bdc8d034 |
プラグイン: Fluent Forms
| 対象製品 | Fluent Forms |
| 対象バージョン | 5.1.16から6.1.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、PHPオブジェクトを挿入できる。追加のPOPチェインが存在することで、攻撃者は任意のファイルを読み込むことができる。また、'allow_url_include'が有効なサーバーでは、リモートコードを実行することが可能である。 ベンダーによってこの問題はバージョン6.1.0で修正されているものの、この修正は脆弱性があるコードで存在しないクラスのインポートに関する致命的なエラー (fatal error) を引き起す。そのため、バージョン6.1.2が完全で最もよい修正バージョンと考える。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/938e5d6b-1ad6-4021-a148-1d1c9e8a0a83 |
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 2.9.5までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、他のユーザーによってアップロードされたファイルの一覧を取得したり、削除したりできる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/be39e24f-d7d7-44db-9ffd-a4605de8e577 |
総括
この期間内に報告された脆弱性6件のうち、2件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、4件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
Fluent FormsにおいてPOPチェインに関する脆弱性が報告されています。POPチェインについては以前の説明を参照してください。
また、AI Engineでも再び脆弱性が報告されています。比較的登場してから新しく、開発が継続的に行われているプラグインは攻撃の対象になりやすいため、常に最新のバージョンを使うことができるようにアップデートの継続を心掛けてください。
