WordPress テーマ・プラグイン 脆弱性情報のまとめ(2025/10/02-2025/10/08)

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

  • 期間: 2025/10/02-2025/10/08 に報告があったもの
  • 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
    • WordPress.orgにおける "Active installations" が 10万 以上である
    • 日本語の翻訳に対応している

深刻度が高い脆弱性: 0件

他の脆弱性: 11件

コア: WordPress

対象製品WordPress
対象バージョン4.7から4.7.30までの全てのバージョン
4.8から4.8.26までの全てのバージョン
4.9から4.9.27までの全てのバージョン
5.0から5.0.23までの全てのバージョン
5.1から5.1.20までの全てのバージョン
5.2から5.2.22までの全てのバージョン
5.3から5.3.19までの全てのバージョン
5.4から5.4.17までの全てのバージョン
5.5から5.5.16までの全てのバージョン
5.6から5.6.15までの全てのバージョン
5.7から5.7.13までの全てのバージョン
5.8から5.8.11までの全てのバージョン
5.9から5.9.11までの全てのバージョン
6.0から6.0.10までの全てのバージョン
6.1から6.1.8までの全てのバージョン
6.2から6.2.7までの全てのバージョン
6.3から6.3.6までの全てのバージョン
6.4から6.4.6までの全てのバージョン
6.5から6.5.6までの全てのバージョン
6.6から6.6.3までの全てのバージョン
6.7から6.7.3までの全てのバージョン
6.8から6.8.2までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、本来アクセス権限のない投稿から情報を抽出することが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/a2926c11-c6a2-4988-89ed-42d9e0791b95

コア: WordPress

対象製品WordPress
対象バージョン4.7までの全てのバージョン
4.7から4.7.30までの全てのバージョン
4.8から4.8.26までの全てのバージョン
4.9から4.9.27までの全てのバージョン
5.0から5.0.23までの全てのバージョン
5.1から5.1.20までの全てのバージョン
5.2から5.2.22までの全てのバージョン
5.3から5.3.19までの全てのバージョン
5.4から5.4.17までの全てのバージョン
5.5から5.5.16までの全てのバージョン
5.6から5.6.15までの全てのバージョン
5.7から5.7.13までの全てのバージョン
5.8から5.8.11までの全てのバージョン
5.9から5.9.11までの全てのバージョン
6.0から6.0.10までの全てのバージョン
6.1から6.1.8までの全てのバージョン
6.2から6.2.7までの全てのバージョン
6.3から6.3.6までの全てのバージョン
6.4から6.4.6までの全てのバージョン
6.5から6.5.6までの全てのバージョン
6.6から6.6.3までの全てのバージョン
6.7から6.7.3までの全てのバージョン
6.8から6.8.2までの全てのバージョン
脆弱性概要投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/c3ecda09-ecee-4e97-ae6f-92d52b0589e5

プラグイン: All in One SEO

対象製品All in One SEO
対象バージョン4.8.7.1までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、許可されていない操作を実行できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/0ada25c7-a636-45cd-b2ee-984b8f676011

プラグイン: GiveWP

対象製品GiveWP
対象バージョン4.10.0までの全てのバージョン
脆弱性概要認証されていない攻撃者が、非公開および下書きの寄付フォームやアーカイブされたキャンペーンからデータを抽出できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/54db1807-69ff-445c-9e02-9abce9fd3940

プラグイン: Sticky Header Effects for Elementor

対象製品Sticky Header Effects for Elementor
対象バージョン2.1.2までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、許可されていない操作を実行できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/5b98173e-0b89-44f9-a238-34a36ed422ac

プラグイン: WP Go Maps (formerly WP Google Maps)

対象製品WP Go Maps
対象バージョン9.0.46までの全てのバージョン
脆弱性概要認証されていない攻撃者が、CSRF攻撃を通じてログイン中の管理者にマーカーやジオメトリ要素の作成・更新・削除を強制することが可能となり、匿名ユーザーが安全でないGETリクエストによってマーカーの一括削除を引き起こすことが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/840ba5b2-838a-455a-b39d-865f89c05249

プラグイン: WP Reset

対象製品WP Reset
対象バージョン2.05までの全てのバージョン
脆弱性概要認証されていない攻撃者が、機密性の高いライセンスキーやサイトデータを抽出できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/86741f4a-8700-45dd-8998-b3f0387c27ed

プラグイン: All in One SEO

対象製品All in One SEO
対象バージョン4.8.7.1までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済の場合に、機密性の高いユーザーデータや設定データを抽出できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/ba22205d-5c09-4901-ba8b-0ffe2f4a09e0

プラグイン: GiveWP

対象製品GiveWP
対象バージョン4.10.0までの全てのバージョン
脆弱性概要認証されていない攻撃者が、任意の寄付フォームを任意のキャンペーンに関連付けることができる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/ddf9a043-5eb6-46fd-88c2-0f5a04f73fc9

プラグイン: Download Manager

対象製品Download Manager
対象バージョン3.3.25までの全てのバージョン
脆弱性概要認証されていない攻撃者が、機密性の高いユーザーデータや設定データを抽出できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/e3991601-a96c-4f98-a0f6-04a134ec6feb

プラグイン: Download Manager

対象製品Download Manager
対象バージョン3.3.24までの全てのバージョン
脆弱性概要認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするといったアクションを実行させることで、偽造されたリクエストを通じて許可されていない操作を実行できる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/ffa54d4e-a633-48a4-83c0-33b7cbd2229a

総括

この期間内に報告された脆弱性11件のうち、6件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、5件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。

今回も認証していない攻撃者に影響を受ける脆弱性が多く報告されました。深刻度が高い脆弱性とされているものはありませんでしたが、他の脆弱性についても使用している場合は速やかにアップデートを適用するようにしてください。

WordPressコアの脆弱性2件については前回の報告の内容を更新したものです。
既にアップデートが提供されていますので、それぞれのWordPressのメジャーバージョンに対応する、最新のWordPressのマイナーアップデートを適用するようにしてください。
なお、WordPressにはコアを自動更新する機能があります。デフォルトでは有効になっていますので、アップデートに追従できるようにしておきましょう。
WordPressのコアの自動更新はメジャーアップデートも行いますが、KUSANAGI専用プラグインではアップデートをマイナーアップデートに限定する機能があります。メジャーアップデートを避けたいといった場合には、こちらの機能を使った上でWordPressのコアの自動更新を利用するのがよいでしょう。

Security Advisory for WordPress はメールでも配信しています。
こちらからお申し込みください:https://www.prime-strategy.co.jp/mail-magazine/

超高速CMS実行環境 KUSANAGI
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.