WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/10/02-2025/10/08 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 0件
他の脆弱性: 11件
コア: WordPress
| 対象製品 | WordPress |
| 対象バージョン | 4.7から4.7.30までの全てのバージョン 4.8から4.8.26までの全てのバージョン 4.9から4.9.27までの全てのバージョン 5.0から5.0.23までの全てのバージョン 5.1から5.1.20までの全てのバージョン 5.2から5.2.22までの全てのバージョン 5.3から5.3.19までの全てのバージョン 5.4から5.4.17までの全てのバージョン 5.5から5.5.16までの全てのバージョン 5.6から5.6.15までの全てのバージョン 5.7から5.7.13までの全てのバージョン 5.8から5.8.11までの全てのバージョン 5.9から5.9.11までの全てのバージョン 6.0から6.0.10までの全てのバージョン 6.1から6.1.8までの全てのバージョン 6.2から6.2.7までの全てのバージョン 6.3から6.3.6までの全てのバージョン 6.4から6.4.6までの全てのバージョン 6.5から6.5.6までの全てのバージョン 6.6から6.6.3までの全てのバージョン 6.7から6.7.3までの全てのバージョン 6.8から6.8.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、本来アクセス権限のない投稿から情報を抽出することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a2926c11-c6a2-4988-89ed-42d9e0791b95 |
コア: WordPress
| 対象製品 | WordPress |
| 対象バージョン | 4.7までの全てのバージョン 4.7から4.7.30までの全てのバージョン 4.8から4.8.26までの全てのバージョン 4.9から4.9.27までの全てのバージョン 5.0から5.0.23までの全てのバージョン 5.1から5.1.20までの全てのバージョン 5.2から5.2.22までの全てのバージョン 5.3から5.3.19までの全てのバージョン 5.4から5.4.17までの全てのバージョン 5.5から5.5.16までの全てのバージョン 5.6から5.6.15までの全てのバージョン 5.7から5.7.13までの全てのバージョン 5.8から5.8.11までの全てのバージョン 5.9から5.9.11までの全てのバージョン 6.0から6.0.10までの全てのバージョン 6.1から6.1.8までの全てのバージョン 6.2から6.2.7までの全てのバージョン 6.3から6.3.6までの全てのバージョン 6.4から6.4.6までの全てのバージョン 6.5から6.5.6までの全てのバージョン 6.6から6.6.3までの全てのバージョン 6.7から6.7.3までの全てのバージョン 6.8から6.8.2までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c3ecda09-ecee-4e97-ae6f-92d52b0589e5 |
プラグイン: All in One SEO
| 対象製品 | All in One SEO |
| 対象バージョン | 4.8.7.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、許可されていない操作を実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0ada25c7-a636-45cd-b2ee-984b8f676011 |
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.10.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、非公開および下書きの寄付フォームやアーカイブされたキャンペーンからデータを抽出できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/54db1807-69ff-445c-9e02-9abce9fd3940 |
プラグイン: Sticky Header Effects for Elementor
| 対象製品 | Sticky Header Effects for Elementor |
| 対象バージョン | 2.1.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、許可されていない操作を実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5b98173e-0b89-44f9-a238-34a36ed422ac |
プラグイン: WP Go Maps (formerly WP Google Maps)
| 対象製品 | WP Go Maps |
| 対象バージョン | 9.0.46までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、CSRF攻撃を通じてログイン中の管理者にマーカーやジオメトリ要素の作成・更新・削除を強制することが可能となり、匿名ユーザーが安全でないGETリクエストによってマーカーの一括削除を引き起こすことが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/840ba5b2-838a-455a-b39d-865f89c05249 |
プラグイン: WP Reset
| 対象製品 | WP Reset |
| 対象バージョン | 2.05までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、機密性の高いライセンスキーやサイトデータを抽出できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/86741f4a-8700-45dd-8998-b3f0387c27ed |
プラグイン: All in One SEO
| 対象製品 | All in One SEO |
| 対象バージョン | 4.8.7.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、機密性の高いユーザーデータや設定データを抽出できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ba22205d-5c09-4901-ba8b-0ffe2f4a09e0 |
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.10.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、任意の寄付フォームを任意のキャンペーンに関連付けることができる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ddf9a043-5eb6-46fd-88c2-0f5a04f73fc9 |
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.25までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、機密性の高いユーザーデータや設定データを抽出できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e3991601-a96c-4f98-a0f6-04a134ec6feb |
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.24までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするといったアクションを実行させることで、偽造されたリクエストを通じて許可されていない操作を実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ffa54d4e-a633-48a4-83c0-33b7cbd2229a |
総括
この期間内に報告された脆弱性11件のうち、6件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、5件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今回も認証していない攻撃者に影響を受ける脆弱性が多く報告されました。深刻度が高い脆弱性とされているものはありませんでしたが、他の脆弱性についても使用している場合は速やかにアップデートを適用するようにしてください。
WordPressコアの脆弱性2件については前回の報告の内容を更新したものです。
既にアップデートが提供されていますので、それぞれのWordPressのメジャーバージョンに対応する、最新のWordPressのマイナーアップデートを適用するようにしてください。
なお、WordPressにはコアを自動更新する機能があります。デフォルトでは有効になっていますので、アップデートに追従できるようにしておきましょう。
WordPressのコアの自動更新はメジャーアップデートも行いますが、KUSANAGI専用プラグインではアップデートをマイナーアップデートに限定する機能があります。メジャーアップデートを避けたいといった場合には、こちらの機能を使った上でWordPressのコアの自動更新を利用するのがよいでしょう。
