WordPress テーマ・プラグイン 脆弱性情報のまとめ(2025/09/04-2025/09/09)

Security Advisory for WordPress

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

  • 期間: 2025/09/04-2025/09/09 に報告があったもの
  • 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
    • WordPress.orgにおける "Active installations" が 10万 以上である
    • 日本語の翻訳に対応している

深刻度が高い脆弱性: 2件

プラグイン: Ninja Forms

対象製品Ninja Forms
対象バージョン3.11.0までの全てのバージョン
修正バージョン3.11.1
CVSS高 (8.1)
脆弱性概要3.11.0 までの全てのバージョンに、安全ではない入力のデシリアライゼーションのため、PHPオブジェクトインジェクションの脆弱性が存在します。
認証していない攻撃者が、任意のPHPオブジェクトを挿入できます。
なお、このプラグイン単体にはPOPチェインはありません。つまり、ウェブサイトにPOPチェインを持つ他のプラグインやテーマが存在しない限り、この脆弱性の影響はありません。
もしも、他にインストールされたプラグインやテーマにPOPチェインが存在する場合、攻撃者はそのPOPチェインによっては任意のファイルを削除したり、機密性のデータを取得したり、PHPコードを実行したりすることができます。
対応方法3.11.1以降にアップデートする
CVEhttps://www.cve.org/CVERecord?id=CVE-2025-9083
公開日2025-08-28 00:00:00 (2025-09-09 13:48:00更新)
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/a567b932-7984-400b-bca0-8d2b0e4b1cb7

プラグイン: Import any XML, CSV or Excel File to WordPress

対象製品Import any XML, CSV or Excel File to WordPress
対象バージョン3.9.3までの全てのバージョン
修正バージョン3.9.4
CVSS高 (7.2)
脆弱性概要3.9.3までの全てのバージョンに、ファイルタイプのバリデーションが不十分なため、任意のファイルをアップロードされる脆弱性が存在します。
攻撃者が管理者以上の権限を持つユーザーで認証済の場合に、サーバ上の .phar ファイルといった安全ではないファイルをアップロードすることが可能となり、リモートでコードが実行される可能性があります。
対応方法3.9.4以降にアップデートする
CVEhttps://www.cve.org/CVERecord?id=CVE-2025-10001
公開日2025-09-09 00:00:00 (2025-09-09 18:18:36更新)
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/bb03aeb8-32ab-4962-bc95-b10fb7bd7fcf

他の脆弱性: 1件

プラグイン: Fluent Forms

対象製品Fluent Forms
対象バージョン5.1.16から6.1.1までの全てのバージョン
脆弱性概要購読者以上の権限を持つユーザーで認証済の場合に、PHPオブジェクトを挿入できる。追加のPOPチェインが存在することで、攻撃者は任意のファイルを読み込むことができる。また、'allow_url_include'が有効なサーバーでは、リモートコードを実行することが可能である。
ベンダーによってこの問題はバージョン6.1.0で修正されているものの、この修正は脆弱性があるコードで存在しないクラスのインポートに関する致命的なエラー (fatal error) を引き起す。そのため、バージョン6.1.2が完全で最もよい修正バージョンと考える。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/938e5d6b-1ad6-4021-a148-1d1c9e8a0a83

総括

この期間内に報告された脆弱性3件のうち、1件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、2件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。

引き続きPOPチェインに関する脆弱性が報告されています。
Ninja Formsの脆弱性については認証していない攻撃者が任意のPHPオブジェクトを挿入できるものと、影響度が高いものです。該当するプラグインを使用している場合は速やかにアップデートを行うようにしてください。
Fluent Formsは前回の報告のアップデートになります。
また、POPチェインについては以前の説明を参照してください。

Security Advisory for WordPress はメールでも配信しています。
こちらからお申し込みください:https://www.prime-strategy.co.jp/mail-magazine/

kusanagi-mod_security_crs モジュール更新情報 4.18.0-1

KUSANAGI Security Edition バージョンアップ情報 10.1.0-1.el9

KUSANAGI Open Source Licenses | KUSANAGI Business Edition, Premium Edition, Security Edition End-User License Agreement

KUSANAGI ロゴ使用ガイドライン | プライバシーポリシ | 脆弱性情報公開ポリシー | お問い合わせ

© 2015 - 2026 GMO Prime Strategy Co., Ltd. All rights reserved