WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/09/25-2025/10/01 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
プラグイン: WP Statistics
| 対象製品 | WP Statistics |
| 対象バージョン | 14.15.4までの全てのバージョン |
| 修正バージョン | 14.15.5 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 14.5.4までの全バージョンに、入力のサニタイズと出力のエスケープが不十分であるため、User-Agentヘッダー経由のStored Cross-Site Scriptingの脆弱性が存在します。 認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できます。 |
| 対応方法 | 14.15.5以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-9816 |
| 公開日 | 2025-09-26 16:25:11 (2025-09-27 04:26:58更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d8351204-da6d-443a-98b5-0608bfb1e9d0 |
他の脆弱性: 14件
コア: WordPress
| 対象製品 | WordPress |
| 対象バージョン | 4.7から4.7.30までの全てのバージョン 4.8から4.8.26までの全てのバージョン 4.9から4.9.27までの全てのバージョン 5.0から5.0.23までの全てのバージョン 5.1から5.1.20までの全てのバージョン 5.2から5.2.22までの全てのバージョン 5.3から5.3.19までの全てのバージョン 5.4から5.4.17までの全てのバージョン 5.5から5.5.16までの全てのバージョン 5.6から5.6.15までの全てのバージョン 5.7から5.7.13までの全てのバージョン 5.8から5.8.11までの全てのバージョン 5.9から5.9.11までの全てのバージョン 6.0から6.0.10までの全てのバージョン 6.1から6.1.8までの全てのバージョン 6.2から6.2.7までの全てのバージョン 6.3から6.3.6までの全てのバージョン 6.4から6.4.6までの全てのバージョン 6.5から6.5.6までの全てのバージョン 6.6から6.6.3までの全てのバージョン 6.7から6.7.3までの全てのバージョン 6.8から6.8.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、本来アクセス権限のない投稿から情報を抽出することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a2926c11-c6a2-4988-89ed-42d9e0791b95 |
コア: WordPress
| 対象製品 | WordPress |
| 対象バージョン | 4.7までの全てのバージョン 4.7から4.7.30までの全てのバージョン 4.8から4.8.26までの全てのバージョン 4.9から4.9.27までの全てのバージョン 5.0から5.0.23までの全てのバージョン 5.1から5.1.20までの全てのバージョン 5.2から5.2.22までの全てのバージョン 5.3から5.3.19までの全てのバージョン 5.4から5.4.17までの全てのバージョン 5.5から5.5.16までの全てのバージョン 5.6から5.6.15までの全てのバージョン 5.7から5.7.13までの全てのバージョン 5.8から5.8.11までの全てのバージョン 5.9から5.9.11までの全てのバージョン 6.0から6.0.10までの全てのバージョン 6.1から6.1.8までの全てのバージョン 6.2から6.2.7までの全てのバージョン 6.3から6.3.6までの全てのバージョン 6.4から6.4.6までの全てのバージョン 6.5から6.5.6までの全てのバージョン 6.6から6.6.3までの全てのバージョン 6.7から6.7.3までの全てのバージョン 6.8から6.8.2までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c3ecda09-ecee-4e97-ae6f-92d52b0589e5 |
プラグイン: All in One SEO
| 対象製品 | All in One SEO |
| 対象バージョン | 4.8.7までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、許可されていない操作を実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0ada25c7-a636-45cd-b2ee-984b8f676011 |
テーマ: OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 4.1.1までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、darkModの設定を更新できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4fe1c440-f988-4020-9f80-77683ff652b2 |
プラグイン: Sticky Header Effects for Elementor
| 対象製品 | Sticky Header Effects for Elementor |
| 対象バージョン | 2.1.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、許可されていない操作を実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5b98173e-0b89-44f9-a238-34a36ed422ac |
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.6.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ドナーの名前、メールアドレス、ドナーIDを取り出すことができる。CVE-2025-47444 はこの脆弱性の重複。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6dc7c5a6-513e-4aa8-9538-0ac6fb37c867 |
プラグイン: Ninja Forms
| 対象製品 | Ninja Forms |
| 対象バージョン | 3.12.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするといったアクションを実行させることで、偽造リクエストを通じて影響を受けるサイトを統計情報収集に組み込むことができる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a2f118fc-d99a-4713-865e-2da7a9e20db5 |
プラグイン: Nextend Social Login and Register
| 対象製品 | Nextend Social Login and Register |
| 対象バージョン | 3.1.19までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a3b5c7ec-eb6a-492e-962f-6ed47ee7f1f2 |
プラグイン: Ninja Forms
| 対象製品 | Ninja Forms |
| 対象バージョン | 3.12.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、リンクをクリックするなどの操作を管理者に実行させることで、権限を有するファイルを削除することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b082176c-9486-416c-8215-cdba4d6e5260 |
プラグイン: All in One SEO
| 対象製品 | All in One SEO |
| 対象バージョン | 4.8.7までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、機密性の高いユーザーデータや設定データを抽出することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ba22205d-5c09-4901-ba8b-0ffe2f4a09e0 |
プラグイン: TI WooCommerce Wishlist
| 対象製品 | TI WooCommerce Wishlist |
| 対象バージョン | 2.10.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、許可されていない操作を実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/cc938f6b-29fd-4f4f-b569-8b81a607ad47 |
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.24までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、機密性の高いユーザーデータや設定データを抽出することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e3991601-a96c-4f98-a0f6-04a134ec6feb |
プラグイン: Admin and Site Enhancements (ASE)
| 対象製品 | Admin and Site Enhancements (ASE) |
| 対象バージョン | 7.9.7までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたSVGファイルにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをSVGファイルに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/fec9a7a6-c515-4b43-8efc-9b3c86f0fd4b |
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.24までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、リンクをクリックするなどの操作を管理者に実行させることで、許可されていない操作を実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ffa54d4e-a633-48a4-83c0-33b7cbd2229a |
総括
この期間内に報告された脆弱性15件のうち、7件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、8件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今回は認証していない攻撃者に影響を受ける脆弱性が多く報告されました。深刻度が高い脆弱性とされているものは1件のみですが、他の脆弱性についても使用している場合は速やかにアップデートを適用するようにしてください。
また、前回報告されていたWordPressコアの脆弱性2件について、内容が更新されました。
それぞれのWordPressのメジャーバージョンに対応する、最新のWordPressのマイナーアップデートにおいて修正が提供されました。特別な理由がない限りはアップデートを適用するようにしてください。
なお、脆弱性を含むセキュリティ対応が提供されるWordPressは4.7以降となります。4.6などの以前の古いバージョンについてはメンテナンスアップデートが提供されません。4.6などの古いバージョンを使用している場合は、新しいメジャーバージョンに移行することを検討ください。
