WordPress テーマ・プラグイン 脆弱性情報のまとめ(2025/09/25-2025/10/01)

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

  • 期間: 2025/09/25-2025/10/01 に報告があったもの
  • 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
    • WordPress.orgにおける "Active installations" が 10万 以上である
    • 日本語の翻訳に対応している

深刻度が高い脆弱性: 1件

プラグイン: WP Statistics

対象製品WP Statistics
対象バージョン14.15.4までの全てのバージョン
修正バージョン14.15.5
CVSS高 (7.2)
脆弱性概要14.5.4までの全バージョンに、入力のサニタイズと出力のエスケープが不十分であるため、User-Agentヘッダー経由のStored Cross-Site Scriptingの脆弱性が存在します。
認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できます。
対応方法14.15.5以降にアップデートする
CVEhttps://www.cve.org/CVERecord?id=CVE-2025-9816
公開日2025-09-26 16:25:11 (2025-09-27 04:26:58更新)
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/d8351204-da6d-443a-98b5-0608bfb1e9d0

他の脆弱性: 14件

コア: WordPress

対象製品WordPress
対象バージョン4.7から4.7.30までの全てのバージョン
4.8から4.8.26までの全てのバージョン
4.9から4.9.27までの全てのバージョン
5.0から5.0.23までの全てのバージョン
5.1から5.1.20までの全てのバージョン
5.2から5.2.22までの全てのバージョン
5.3から5.3.19までの全てのバージョン
5.4から5.4.17までの全てのバージョン
5.5から5.5.16までの全てのバージョン
5.6から5.6.15までの全てのバージョン
5.7から5.7.13までの全てのバージョン
5.8から5.8.11までの全てのバージョン
5.9から5.9.11までの全てのバージョン
6.0から6.0.10までの全てのバージョン
6.1から6.1.8までの全てのバージョン
6.2から6.2.7までの全てのバージョン
6.3から6.3.6までの全てのバージョン
6.4から6.4.6までの全てのバージョン
6.5から6.5.6までの全てのバージョン
6.6から6.6.3までの全てのバージョン
6.7から6.7.3までの全てのバージョン
6.8から6.8.2までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、本来アクセス権限のない投稿から情報を抽出することが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/a2926c11-c6a2-4988-89ed-42d9e0791b95

コア: WordPress

対象製品WordPress
対象バージョン4.7までの全てのバージョン
4.7から4.7.30までの全てのバージョン
4.8から4.8.26までの全てのバージョン
4.9から4.9.27までの全てのバージョン
5.0から5.0.23までの全てのバージョン
5.1から5.1.20までの全てのバージョン
5.2から5.2.22までの全てのバージョン
5.3から5.3.19までの全てのバージョン
5.4から5.4.17までの全てのバージョン
5.5から5.5.16までの全てのバージョン
5.6から5.6.15までの全てのバージョン
5.7から5.7.13までの全てのバージョン
5.8から5.8.11までの全てのバージョン
5.9から5.9.11までの全てのバージョン
6.0から6.0.10までの全てのバージョン
6.1から6.1.8までの全てのバージョン
6.2から6.2.7までの全てのバージョン
6.3から6.3.6までの全てのバージョン
6.4から6.4.6までの全てのバージョン
6.5から6.5.6までの全てのバージョン
6.6から6.6.3までの全てのバージョン
6.7から6.7.3までの全てのバージョン
6.8から6.8.2までの全てのバージョン
脆弱性概要投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/c3ecda09-ecee-4e97-ae6f-92d52b0589e5

プラグイン: All in One SEO

対象製品All in One SEO
対象バージョン4.8.7までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、許可されていない操作を実行できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/0ada25c7-a636-45cd-b2ee-984b8f676011

テーマ: OceanWP

対象製品OceanWP
対象バージョン4.1.1までの全てのバージョン
脆弱性概要購読者以上の権限を持つユーザーで認証済の場合に、darkModの設定を更新できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/4fe1c440-f988-4020-9f80-77683ff652b2

プラグイン: Sticky Header Effects for Elementor

対象製品Sticky Header Effects for Elementor
対象バージョン2.1.2までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、許可されていない操作を実行できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/5b98173e-0b89-44f9-a238-34a36ed422ac

プラグイン: GiveWP

対象製品GiveWP
対象バージョン4.6.0までの全てのバージョン
脆弱性概要認証されていない攻撃者が、ドナーの名前、メールアドレス、ドナーIDを取り出すことができる。CVE-2025-47444 はこの脆弱性の重複。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/6dc7c5a6-513e-4aa8-9538-0ac6fb37c867

プラグイン: Ninja Forms

対象製品Ninja Forms
対象バージョン3.12.0までの全てのバージョン
脆弱性概要認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするといったアクションを実行させることで、偽造リクエストを通じて影響を受けるサイトを統計情報収集に組み込むことができる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/a2f118fc-d99a-4713-865e-2da7a9e20db5

プラグイン: Nextend Social Login and Register

対象製品Nextend Social Login and Register
対象バージョン3.1.19までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/a3b5c7ec-eb6a-492e-962f-6ed47ee7f1f2

プラグイン: Ninja Forms

対象製品Ninja Forms
対象バージョン3.12.0までの全てのバージョン
脆弱性概要認証されていない攻撃者が、リンクをクリックするなどの操作を管理者に実行させることで、権限を有するファイルを削除することが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/b082176c-9486-416c-8215-cdba4d6e5260

プラグイン: All in One SEO

対象製品All in One SEO
対象バージョン4.8.7までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、機密性の高いユーザーデータや設定データを抽出することが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/ba22205d-5c09-4901-ba8b-0ffe2f4a09e0

プラグイン: TI WooCommerce Wishlist

対象製品TI WooCommerce Wishlist
対象バージョン2.10.0までの全てのバージョン
脆弱性概要認証されていない攻撃者が、許可されていない操作を実行できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/cc938f6b-29fd-4f4f-b569-8b81a607ad47

プラグイン: Download Manager

対象製品Download Manager
対象バージョン3.3.24までの全てのバージョン
脆弱性概要認証されていない攻撃者が、機密性の高いユーザーデータや設定データを抽出することが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/e3991601-a96c-4f98-a0f6-04a134ec6feb

プラグイン: Admin and Site Enhancements (ASE)

対象製品Admin and Site Enhancements (ASE)
対象バージョン7.9.7までの全てのバージョン
脆弱性概要投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたSVGファイルにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをSVGファイルに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/fec9a7a6-c515-4b43-8efc-9b3c86f0fd4b

プラグイン: Download Manager

対象製品Download Manager
対象バージョン3.3.24までの全てのバージョン
脆弱性概要認証されていない攻撃者が、リンクをクリックするなどの操作を管理者に実行させることで、許可されていない操作を実行できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/ffa54d4e-a633-48a4-83c0-33b7cbd2229a

総括

この期間内に報告された脆弱性15件のうち、7件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、8件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。

今回は認証していない攻撃者に影響を受ける脆弱性が多く報告されました。深刻度が高い脆弱性とされているものは1件のみですが、他の脆弱性についても使用している場合は速やかにアップデートを適用するようにしてください。

また、前回報告されていたWordPressコアの脆弱性2件について、内容が更新されました。
それぞれのWordPressのメジャーバージョンに対応する、最新のWordPressのマイナーアップデートにおいて修正が提供されました。特別な理由がない限りはアップデートを適用するようにしてください。
なお、脆弱性を含むセキュリティ対応が提供されるWordPressは4.7以降となります。4.6などの以前の古いバージョンについてはメンテナンスアップデートが提供されません。4.6などの古いバージョンを使用している場合は、新しいメジャーバージョンに移行することを検討ください。

Security Advisory for WordPress はメールでも配信しています。
こちらからお申し込みください:https://www.prime-strategy.co.jp/mail-magazine/

超高速CMS実行環境 KUSANAGI
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.