WordPress テーマ・プラグイン 脆弱性情報のまとめ（2025/10/23-2025/10/29）

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

• 期間: 2025/10/23-2025/10/29 に報告があったもの
• 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
  • WordPress.orgにおける "Active installations" が 10万 以上である
  • 日本語の翻訳に対応している

深刻度が高い脆弱性: 0件

なし

他の脆弱性: 12件

プラグイン: Tutor LMS

対象製品	Tutor LMS
対象バージョン	3.8.3までの全てのバージョン
脆弱性概要	Tutor以上の権限を持つユーザーで認証済の場合に、自身が担当していないコースの課題（機密情報を含む可能性がある）を閲覧することが可能となる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/1b8d88e4-a9dc-4740-b836-99f730beefcb

プラグイン: BackWPup

対象製品	BackWPup
対象バージョン	5から5.5.0までの全てのバージョン
脆弱性概要	購読者以上の権限を持つユーザーで認証済の場合に、バックアップ実行中にバックアップファイル名へのアクセスを取得することが可能となる。 この情報自体はほとんど価値を持たないが、限定された環境（例：NGINX）において、バックアップ内容を取得するためのブルートフォース攻撃を支援するために利用される可能性がある。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/1e9a1484-2000-47fa-9890-fa02eddabcd9

プラグイン: Tutor LMS

対象製品	Tutor LMS
対象バージョン	3.8.3までの全てのバージョン
脆弱性概要	認証されていない攻撃者が、偽造したウェブフックリクエストを送信して 'payment_type' を 'recurring' に設定することで、支払い検証を迂回し、注文を支払済みとしてマークすることが可能となる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/26289a93-063b-469a-9d09-c286d76fce0c

プラグイン: Password Protected — Lock Entire Site, Pages, Posts, Categories, and Partial Content

対象製品	Password Protected — Lock Entire Site, Pages, Posts, Categories, and Partial Content
対象バージョン	2.7.11までの全てのバージョン
脆弱性概要	認証されていない攻撃者が、正当に認証されたユーザーのIPアドレスでこれらのヘッダーを偽装することで、認証を迂回することが可能となる。 ただし、これには 'Use transients' オプションが有効化されていること（デフォルト設定ではない）、および、サイトがこれらのヘッダーを上書きするCDNやリバースプロキシの背後にある場合を除く。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/30b4371d-54a2-4111-ad2c-b38b6b31884d

プラグイン: Advanced Database Cleaner

対象製品	Advanced Database Cleaner
対象バージョン	3.1.6までの全てのバージョン
脆弱性概要	認証されていない攻撃者が、リンクをクリックするなどの操作を管理者に実行させることで、 keep lastの設定を変更することが可能となる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/4f4635ac-2ce6-4135-8d2b-d03b42860f05

プラグイン: GenerateBlocks

対象製品	GenerateBlocks
対象バージョン	2.1.1までの全てのバージョン
脆弱性概要	寄稿者以上の権限を持つユーザーで認証済の場合に、任意のWordPressオプションを読み取ることが可能となる。これには、SMTP認証情報、APIキー、その他のプラグインによって保存されたデータなどの機密情報が含まれる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/5f1ba1c7-de88-4070-a4ec-fbe4a0c30920

プラグイン: Smash Balloon Social Post Feed

対象製品	Smash Balloon Social Post Feed
対象バージョン	4.3.2までの全てのバージョン
脆弱性概要	購読者以上の権限を持つユーザーで認証済の場合に、許可されていないアクションを実行できる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/741d5cb6-0119-45a7-81df-400103d75c42

プラグイン: WooCommerce

対象製品	WooCommerce
対象バージョン	7.8.2までの全てのバージョン
脆弱性概要	認証されていない攻撃者が、個人識別情報を含む機密性の高いユーザー情報を抽出することが可能となる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/7b2d1879-c337-41c9-9f47-f9c2fe8e5928

プラグイン: LiteSpeed Cache

対象製品	LiteSpeed Cache
対象バージョン	7.5.0.1までの全てのバージョン(LiteSpeed Cache)
脆弱性概要	認証されていない攻撃者が、ユーザーを騙してリンクをクリックするといったアクションを実行させることで、実行される任意のウェブスクリプトをページに挿入できる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/98f71c32-9453-4598-acb5-242818508c74

プラグイン: Nextend Social Login and Register

対象製品	Nextend Social Login and Register
対象バージョン	3.1.19までの全てのバージョン
脆弱性概要	寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/a3b5c7ec-eb6a-492e-962f-6ed47ee7f1f2

プラグイン: Anti-Malware Security and Brute-Force Firewall

対象製品	Anti-Malware Security and Brute-Force Firewall
対象バージョン	4.23.81までの全てのバージョン
脆弱性概要	購読者以上の権限を持つユーザーで認証済の場合に、機密情報が含まれている可能性があるサーバー上の任意のファイルの内容を読み取ることが可能となる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/e2c8838c-d29a-4df8-85b3-6e440ba7f962

プラグイン: BuddyPress

対象製品	BuddyPress
対象バージョン	14.3.4までの全てのバージョン
脆弱性概要	認証されていない攻撃者が、許可されていないアクションを実行できる。
詳細	https://www.wordfence.com/threat-intel/vulnerabilities/id/f0077624-c111-468f-ae24-d730642b676c

総括

この期間内に報告された脆弱性12件のうち、6件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、6件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。

深刻度が高い脆弱性は報告されていませんが、認証していない攻撃者に影響を受ける脆弱性が前回に引き続いて報告されています。特にWooCommerceを使用している場合は、深刻度が高い脆弱性ではありませんが速やかにアップデートを適用するようにしてください。

認証済の場合に影響を受ける脆弱性への対策としても、引き続き、管理画面を保護する、強固なパスワードを利用するなどの基本的な対策を行ってください。