WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/10/09-2025/10/15 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 0件
なし
他の脆弱性: 4件
プラグイン: Enable Media Replace
| 対象製品 | Enable Media Replace |
| 対象バージョン | 4.1.6までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/07aafbe4-d2ac-4cc3-beb4-37e681ed5285 |
プラグイン: WP Go Maps (formerly WP Google Maps)
| 対象製品 | WP Go Maps (formerly WP Google Maps) |
| 対象バージョン | 9.0.46までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、CSRF攻撃を通じてログイン中の管理者にマーカーやジオメトリ要素の作成・更新・削除を強制することが可能となり、匿名ユーザーが安全でないGETリクエストによってマーカーの一括削除を引き起こすことが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/840ba5b2-838a-455a-b39d-865f89c05249 |
プラグイン: Ally
| 対象製品 | Ally |
| 対象バージョン | 3.8.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするといったアクションを実行させることで、フィルタリングされていないファイルのアップロードやSVGファイルをアップロードリストに追加できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f9190d35-c9e7-4190-8e66-f6066fe66af8 |
プラグイン: Permalink Manager Lite
| 対象製品 | Permalink Manager Lite |
| 対象バージョン | 2.5.1.3までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、機密性の高いユーザーデータや設定データを抽出できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/fa4ac740-8f57-4d0c-8e04-dcddeeb3c89e |
総括
この期間内に報告された脆弱性4件のうち、3件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、1件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
認証していない攻撃者に影響を受ける脆弱性が前回に引き続いて報告されています。深刻度が高い脆弱性とされているものはありませんでしたが、該当するプラグインを使用している場合は速やかにアップデートを適用するようにしてください。
認証済の場合に影響を受ける脆弱性への対策としても、引き続き、管理画面を保護する、強固なパスワードを利用するなどの基本的な対策を行ってください。
