WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/11/06-2025/11/12 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 2件
プラグイン: Import any XML, CSV or Excel File to WordPress
| 対象製品 | Import any XML, CSV or Excel File to WordPress |
| 対象バージョン | 3.9.6までの全てのバージョン |
| 修正バージョン | 4.0.0 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 3.9.6までの全バージョンに、リモートコード実行の脆弱性が存在します。これは helpers/functions.php 内の pmxi_if 関数において、検証されていないユーザー入力に対して eval() が使用されていることに起因します。 インポートの権限グループを持つユーザーで認証済みの場合(通常は管理者)に、細工されたインポートテンプレートを介してサーバー上で任意のPHPコードを注入・実行することが可能となります。これによりリモートコードを実行する可能性があります。 |
| 対応方法 | 4.0.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-12733 |
| 公開日 | 2025-11-12 00:00:00 (2025-11-12 15:04:46更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8475dd90-b47a-42b4-8e4e-44e8512e4fca |
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 3.1.8までの全てのバージョン |
| 修正バージョン | 3.1.9 |
| CVSS | 高 (7.1) |
| 脆弱性概要 | 3.1.8までの全バージョンに、 'rest_simpleTranscribeAudio' 関数、および、 'rest_simpleVisionQuery' 関数内の信頼できない入力のデシリアライズ処理を経由したPHARのデシリアライズによるPHPオブジェクトインジェクションの脆弱性が存在します。 購読者以上の権限を持つユーザーで認証済の場合に、任意のPHPオブジェクトを挿入できます。 なお、このプラグイン単体にはPOPチェインはありません。つまり、ウェブサイトにPOPチェインを持つ他のプラグインやテーマが存在しない限り、この脆弱性の影響はありません。 もしも、他にインストールされたプラグインやテーマにPOPチェインが存在する場合、攻撃者はそのPOPチェインによっては任意のファイルを削除したり、機密性のデータを取得したり、PHPコードを実行したりすることができます。 |
| 対応方法 | 3.1.9以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-12844 |
| 公開日 | 2025-11-12 00:00:00 (2025-11-12 19:14:24更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c39c1b72-e3e0-44fb-8fb8-602cb0aa61e3 |
他の脆弱性: 2件
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.30までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ハードコードされたCronキーのcronジョブをトリガーすることが可能となり、期限切れの投稿の削除やキャッシュをクリアできる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/17d5253c-5000-40c7-a7fd-f75d4badfb5e |
プラグイン: WP Reset
| 対象製品 | WP Reset |
| 対象バージョン | 2.05までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、機密のライセンスキーやサイトデータを抽出することができる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/86741f4a-8700-45dd-8998-b3f0387c27ed |
総括
この期間内に報告された脆弱性4件のうち、2件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、2件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
深刻度が高い脆弱性は、いずれもリモートコード実行が可能となる脆弱性です。速やかにアップデートを適用するようにしてください。
なお、AI Engineの脆弱性はPOPチェインに関わる脆弱性です。POPチェインについては、以前の説明を参照してください。
