WordPress テーマ・プラグイン 脆弱性情報のまとめ(2025/09/18-2025/09/24)

Security Advisory for WordPress

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

  • 期間: 2025/09/18-2025/09/24 に報告があったもの
  • 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
    • WordPress.orgにおける "Active installations" が 10万 以上である
    • 日本語の翻訳に対応している

深刻度が高い脆弱性: 0件

なし

他の脆弱性: 3件

プラグイン: Download Manager

対象製品Download Manager
対象バージョン3.3.23までの全てのバージョン
脆弱性概要認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするといったアクションを実行させることで、実行される任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/b1adb414-8945-4e11-8770-dab3285d608e

コア: WordPress

対象製品WordPress
対象バージョン6.8.2までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、機密性の高いユーザーデータや設定データを抽出することが可能となる。
なお、この脆弱性は第三者による誤った早期開示があったため、現時点でパッチは提供されていない。当該第三者はWordPressコアチームと調整し、パッチ適用まで脆弱性を公開状態に保つことを決定した。
WordPressサイトへのリスクは低く、WordPressセキュリティチームは修正を積極的に進めている。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/a2926c11-c6a2-4988-89ed-42d9e0791b95
対象製品WordPress
対象バージョン6.8.2までの全てのバージョン
脆弱性概要投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
なお、この脆弱性は第三者による誤った早期開示があったため、現時点でパッチは提供されていない。当該第三者はWordPressコアチームと調整し、パッチ適用まで脆弱性を公開状態に保つことを決定した。
WordPressサイトへのリスクは低く、WordPressセキュリティチームは修正を積極的に進めている。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/c3ecda09-ecee-4e97-ae6f-92d52b0589e5

総括

この期間内に報告された脆弱性3件のうち、1件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、2件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。

WordPressコアの脆弱性が2件報告されています。
概要に記載の通り、この脆弱性は第三者による誤った早期開示があったために、現時点でまだ修正のパッチが提供されていません。
ただし、脆弱性のWordPressサイトへのリスクは低く、WordPressセキュリティチームは修正を積極的に進めています。パッチは 6.8.3 で提供されると考えられますので、リリースした際にはアップデートを適用するようにしてください。

WordPressコアの脆弱性については、珍しく修正のパッチが提供される前に脆弱性の内容が公開されています。
修正が提供される前に脆弱性が公開されてしまうと、その脆弱性を悪用して攻撃を受けるリスクが上がります。そのため、脆弱性の発見者は関係者 (この場合はWordPressコアチーム) と公開の時期と方法を協議して決めるのが一般的です。
今回は何らかの理由で、先に脆弱性の情報が公開されてしまったようです。ただし、WordPressサイトへのリスクが低いとWordPressコアチームが判断し、修正が提供されていないものの、公開は取り消さないことになりました。

WordPressとは離れた話題となりますが、FeliCa ICチップの脆弱性に関する指摘が一部報道機関によって脆弱性の情報を公開する前に報道されてしまった事案がありました。本件については経済産業省からも情報セキュリティ早期警戒パートナーシップガイドラインに則した対応を取るように要請を出しています。
脆弱性に関する情報の公開はセキュリティのために必要なことではありますが、公開の時期と方法を間違えると社会をリスクに晒す危険性も伴います。
被害発生を抑制するため、脆弱性に関する情報は正しく管理することを常に意識してください。

Security Advisory for WordPress はメールでも配信しています。
こちらからお申し込みください:https://www.prime-strategy.co.jp/mail-magazine/

kusanagi-php84 モジュール更新情報 8.4.12-2

kusanagi-nghttp3 モジュール更新情報 1.12.0-1

KUSANAGI Open Source Licenses | KUSANAGI Business Edition, Premium Edition, Security Edition End-User License Agreement

KUSANAGI ロゴ使用ガイドライン | プライバシーポリシ | 脆弱性情報公開ポリシー | お問い合わせ

© 2015 - 2025 Prime Strategy Co., Ltd. All rights reserved

超高速CMS実行環境 KUSANAGI
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.