WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/09/10-2025/09/17 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 2件
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.15.1までの全てのバージョン |
| 修正バージョン | 6.15.1.1 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 6.15.1 までの全てバージョンに、ユーザーから渡されたパラメータのエスケープが不十分であることと、既存のSQLクエリーの事前処理が不十分であるため、's'パラメータを介した time-based SQLインジェクションの脆弱性が存在します。 認証していない攻撃者が、既存のSQLクエリーに追加のSQLクエリーを付加することで機密情報をデータベースから抜き出すことが可能となります。 |
| 対応方法 | 6.15.1.1以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-9807 |
| 公開日 | 2025-09-11 12:26:47 (2025-09-12 01:46:00更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8ea2ce90-6c8c-4a31-8faa-4ab99879d8b8 |
プラグイン: Import any XML, CSV or Excel File to WordPress
| 対象製品 | Import any XML, CSV or Excel File to WordPress |
| 対象バージョン | 3.9.3までの全てのバージョン |
| 修正バージョン | 3.9.4 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 3.9.3までの全てのバージョンに、ファイルタイプのバリデーションが不十分なため、任意のファイルをアップロードされる脆弱性が存在します。 攻撃者が管理者以上の権限を持つユーザーで認証済の場合に、サーバ上の .phar ファイルといった安全ではないファイルをアップロードすることが可能となり、リモートでコードが実行される可能性があります。 |
| 対応方法 | 3.9.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-10001 |
| 公開日 | 2025-09-09 00:00:00 (2025-09-10 06:38:52更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/bb03aeb8-32ab-4962-bc95-b10fb7bd7fcf |
他の脆弱性: 3件
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.15.2までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者がパスワードで保護されたベンダーや会場に関する情報を抽出することが可能になる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0f2968d6-f1b1-4cd5-b76b-9dc0f6dd1a6a |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.7.4までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、既存のSQLクエリに追加のSQLクエリを挿入し、データベースから機密情報を抽出するために利用可能なクエリを作成することが可能になる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/91ca027c-0483-44de-b19e-243ccb2c7b31 |
テーマ: Sydney
| 対象製品 | Sydney |
| 対象バージョン | 2.56までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、様々なテーマモジュールを有効化または無効化できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/965582c6-a52e-4f88-81ef-b5dd761a0c23 |
総括
この期間内に報告された脆弱性5件のうち、2件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、3件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
The Events Calendarには2つの脆弱性が報告されています。
その中の1つは 認証していない攻撃者 が機密情報をデータベースから抜き出すことが可能となるものです。
ただし、あくまで既存のSQLクエリーに追加クエリーを付加することしかできないため、攻撃者は直接データを取得することはできません。よって、time-based SQLインジェクションにより抜き出すことになります。(ブラインドSQLインジェクションの1つです)
限定的な方法ではあるものの、認証していない攻撃者による機密情報の取得が可能である点から、早急なアップデートが必要です
time-based SQLインジェクションについては、過去の記事を参照してください。
Import any XML, CSV or Excel File to WordPressは先週の報告のアップデートになります。
