WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/10/16-2025/10/22 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
プラグイン: Responsive Lightbox & Gallery
| 対象製品 | Responsive Lightbox & Gallery |
| 対象バージョン | 2.5.2までの全てのバージョン |
| 修正バージョン | 2.5.3 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 2.5.2までの全バージョンに、入力のサニタイズと出力のエスケープが不十分であるため、Stored Cross-Site Scriptingの脆弱性が存在します。 認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できます。 |
| 対応方法 | 2.5.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-9710 |
| 公開日 | 2025-09-15 00:00:00 (2025-10-16 14:26:35更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/06063978-6c61-42e0-bf03-092aaa20d850 |
他の脆弱性: 6件
プラグイン: ShortPixel Image Optimizer
| 対象製品 | ShortPixel Image Optimizer |
| 対象バージョン | 6.3.4までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、サイトのオプションをエクスポートとインポートすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1f7e9eb5-e222-43fa-a14f-b9cbced6b8f5 |
プラグイン: Ultimate Addons for Elementor (Formerly Elementor Header & Footer Builder)
| 対象製品 | Ultimate Addons for Elementor (Formerly Elementor Header & Footer Builder) |
| 対象バージョン | 2.4.9までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたSVGファイルにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをSVGファイルに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4117683b-5827-406c-aaaf-b01e9fdb1ba7 |
プラグイン: Crowdsignal Dashboard
| 対象製品 | Crowdsignal Dashboard |
| 対象バージョン | 3.1.3までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、リンクをクリックするなどの操作を管理者に実行させることで、許可されていない操作を実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/50959c4e-b7b9-45a1-9323-a1289ec1424f |
プラグイン: WP Go Maps (formerly WP Google Maps)
| 対象製品 | WP Go Maps (formerly WP Google Maps) |
| 対象バージョン | 9.0.48までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、位置情報検索結果のキャッシュの場所を改ざんすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/531360c6-e78a-4344-be06-95735337a2d6 |
プラグイン: FileBird
| 対象製品 | FileBird |
| 対象バージョン | 6.4.9までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、全てのプラグインの設定データをリセットできる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/60ed7738-5cba-4fc0-9178-265773555369 |
プラグイン: Ally
| 対象製品 | Ally |
| 対象バージョン | 3.8.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするといったアクションを実行させることで、フィルタリングされていないファイルのアップロードやSVGファイルをアップロードリストに追加できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f9190d35-c9e7-4190-8e66-f6066fe66af8 |
総括
この期間内に報告された脆弱性7件のうち、4件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、3件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
依然として認証していない攻撃者に影響を受ける脆弱性が前回に引き続いて報告されています。今回は深刻度が高い脆弱性が1件ありましたので、該当するプラグインを使用している場合は速やかにアップデートを適用するようにしてください。また、他の深刻度ついてもアップデートを行い、最新版を維持するようにしてください。
サイト管理者を騙してリンクをクリックするといったアクションを実行させることをトリガーとする脆弱性が多く報告されています。脆弱性を利用してアクションを仕込むところまでは行えますが、攻撃者には実際に実行する権限がないためにサイト管理者が実行するのを待つタイプの攻撃です。サイト管理者として、サイト内であっても見覚えのないリンクを不用意にクリックしたりしないようにするなど、注意を怠らないことが重要です。また、サイトの編集などの必要な時以外はログアウトして、一般の利用者としてサイトを閲覧・確認することも一定の対策になります。
