WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/11/13-2025/11/19 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 5件
プラグイン: Import any XML, CSV or Excel File to WordPress
| 対象製品 | Import any XML, CSV or Excel File to WordPress |
| 対象バージョン | 3.9.6までの全てのバージョン |
| 修正バージョン | 4.0.0 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 3.9.6までの全バージョンに、リモートコード実行の脆弱性が存在します。これは helpers/functions.php 内の pmxi_if 関数において、検証されていないユーザー入力に対して eval() が使用されていることに起因します。 インポートの権限グループを持つユーザーで認証済みの場合(通常は管理者)に、細工されたインポートテンプレートを介してサーバー上で任意のPHPコードを注入・実行することが可能となります。これによりリモートコードを実行する可能性があります。 |
| 対応方法 | 4.0.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-12733 |
| 公開日 | 2025-11-12 00:00:00 (2025-11-13 03:27:38更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8475dd90-b47a-42b4-8e4e-44e8512e4fca |
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.13.0までの全てのバージョン |
| 修正バージョン | 4.13.1 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 4.13.0までの全バージョンに、入力のサニタイズと出力のエスケープが不十分であるため、Stored Cross-Site Scriptingの脆弱性が存在します。 認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できます。 この脆弱性を悪用するには、WordPressのインストール環境でAvatarが有効化されている必要があります。 |
| 対応方法 | 4.13.1以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-13206 |
| 公開日 | 2025-11-18 00:00:00 (2025-11-19 07:46:08更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/95823720-e1dc-46c1-887b-ffd877b2fbe5 |
プラグイン: WP Go Maps (formerly WP Google Maps)
| 対象製品 | WP Go Maps (formerly WP Google Maps) |
| 対象バージョン | 9.0.47までの全てのバージョン |
| 修正バージョン | 9.0.48 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 9.0.47までの全バージョンに、入力のサニタイズと出力のエスケープが不十分であるため、Stored Cross-Site Scriptingの脆弱性が存在します。 認証していない攻撃者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できます。 |
| 対応方法 | 9.0.48以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-11307 |
| 公開日 | 2025-10-21 00:00:00 (2025-11-17 18:37:01更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b7eb9e6e-52d7-41d2-b51f-5cc5b7f3dd40 |
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 3.1.8までの全てのバージョン |
| 修正バージョン | 3.1.9 |
| CVSS | 高 (7.1) |
| 脆弱性概要 | 3.1.8までの全バージョンに、 'rest_simpleTranscribeAudio' 関数、および、 'rest_simpleVisionQuery' 関数内の信頼できない入力のデシリアライズ処理を経由したPHARのデシリアライズによるPHPオブジェクトインジェクションの脆弱性が存在します。 購読者以上の権限を持つユーザーで認証済の場合に、任意のPHPオブジェクトを挿入できます。 なお、このプラグイン単体にはPOPチェインはありません。つまり、ウェブサイトにPOPチェインを持つ他のプラグインやテーマが存在しない限り、この脆弱性の影響はありません。 もしも、他にインストールされたプラグインやテーマにPOPチェインが存在する場合、攻撃者はそのPOPチェインによっては任意のファイルを削除したり、機密性のデータを取得したり、PHPコードを実行したりすることができます。 |
| 対応方法 | 3.1.9以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-12844 |
| 公開日 | 2025-11-12 00:00:00 (2025-11-13 07:27:55更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c39c1b72-e3e0-44fb-8fb8-602cb0aa61e3 |
プラグイン: Code Snippets
| 対象製品 | Code Snippets |
| 対象バージョン | 3.9.1までの全てのバージョン |
| 修正バージョン | 3.9.2 |
| CVSS | 高 (8) |
| 脆弱性概要 | 3.9.1までの全バージョンにおいてPHPコードインジェクションの脆弱性を有します。 これは、 'evaluate_shortcode_from_flat_file 'メソッド内で攻撃者が制御するショートコード属性に対して 'extract()' 関数が使用されているためで、 '$filepath' 変数が上書きされ、その後require_onceに渡される可能性があります。 寄稿者以上の権限を持つユーザーで認証済の場合に、管理者に対して「ファイルベースの実行を有効にする」設定を有効化させ、かつ少なくとも1つのアクティブなコンテンツスニペットを作成させることに成功した場合に、PHPフィルターチェーンを利用した '[code_snippet]' ショートコード経由でサーバー上で任意のPHPコードを実行することが可能となります。 |
| 対応方法 | 3.9.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-13035 |
| 公開日 | 2025-11-18 19:03:25 (2025-11-19 10:49:08更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c7c7247c-2fc3-46ff-858e-2242b7211476 |
他の脆弱性: 11件
プラグイン: YITH WooCommerce Wishlist
| 対象製品 | YITH WooCommerce Wishlist |
| 対象バージョン | 4.10.0までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、任意のユーザーのウィッシュリストトークンを漏洩させ、共有ウィッシュリストページで公開されているdelete_item nonceとAJAXハンドラのオブジェクトレベル認証チェックの欠如を組み合わせてREST API認証バイパスを連鎖させることで、ウィッシュリストアイテムを削除できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0088a97c-5a06-4500-a923-242499596aca |
プラグイン: Broken Link Checker by AIOSEO
| 対象製品 | Broken Link Checker by AIOSEO |
| 対象バージョン | 1.2.5までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、DELETE /wp-json/aioseoBrokenLinkChecker/v1/post エンドポイントを通じて任意の投稿を削除できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0254cd1b-f8f6-400e-a48e-81bd553fe8d1 |
プラグイン: All in One SEO
| 対象製品 | All in One SEO |
| 対象バージョン | 4.8.9までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、有効な添付ファイルIDを特定できる場合に限り、REST APIを介してID指定による任意のメディア添付ファイルを恒久的に削除できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/05abc09f-903b-45a9-8cde-1bf8fd5d7d44 |
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 3.1.8までの全てのバージョン |
| 脆弱性概要 | 編集者以上の権限を持つユーザーで認証済の場合に、Webアプリケーションから任意の場所へのWebリクエストを送信できるようになり、内部サービスからの情報の照会や変更に悪用できる。 Cloudのインスタンスでは、この問題によりメタデータの取得が可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3b497bc0-bf47-43c7-9d5f-8e130dd0bab2 |
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.6.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ドナーの名前、メールアドレス、ドナーIDを取り出すことができる。CVE-2025-47444 はこの脆弱性の重複。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6dc7c5a6-513e-4aa8-9538-0ac6fb37c867 |
プラグイン: Responsive Lightbox & Gallery
| 対象製品 | Responsive Lightbox & Gallery |
| 対象バージョン | 2.5.3までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、Webアプリケーションを起点として任意の場所へのWebリクエストを発行できるようになり、内部サービスからの情報の照会や変更に悪用できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7f4c0bd6-f289-4a52-ac11-345076c32d84 |
プラグイン: VK All in One Expansion Unit
| 対象製品 | VK All in One Expansion Unit |
| 対象バージョン | 9.112.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8996a0f0-8a49-4310-917b-62172c12afdb |
プラグイン: VK All in One Expansion Unit
| 対象製品 | VK All in One Expansion Unit |
| 対象バージョン | 9.112.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 ※上記とは異なる脆弱性です。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9e5a6158-03d4-4ac7-8a4b-666cedabb433 |
プラグイン: Nextend Social Login and Register
| 対象製品 | Nextend Social Login and Register |
| 対象バージョン | 3.1.19までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a3b5c7ec-eb6a-492e-962f-6ed47ee7f1f2 |
プラグイン: Post Type Switcher
| 対象製品 | Post Type Switcher |
| 対象バージョン | 4.0.0までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、自身が所有していない任意の投稿やページ(管理者によって作成されたものを含む)の投稿タイプを変更することが可能となり、サイトの混乱、ナビゲーションの破損、SEOへの影響を引き起こす可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d875514c-c7d3-4236-842b-6e772048448d |
プラグイン: YITH WooCommerce Wishlist
| 対象製品 | YITH WooCommerce Wishlist |
| 対象バージョン | 4.10.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、任意のユーザーのウィッシュリストトークンIDを特定し、その後、被害者のウィッシュリストを無断で改名することが可能となる(完全性への影響)。 この脆弱性は、マルチユーザーストアを対象とした改ざん、ソーシャルエンジニアリング攻撃、大規模な改変、およびプロファイリングを大規模に行うために悪用できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ffdb95ac-6b22-44a9-bd5c-b802a2d908d7 |
総括
この期間内に報告された脆弱性16件のうち、5件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、16件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
深刻度が高い脆弱性のうち、Import any XML, CSV or Excel File to WordPressとAI Engineについては、先週の報告の更新版となります。他の3件はいずれも新しい報告となりますので、速やかにアップデートを適用するようにしてください。
他の脆弱性についても、引き続き認証していない攻撃者によって影響を受ける脆弱性が多く報告されています。
投稿の削除や改ざん、内部サービスからの情報取得やリモートコード実行が可能となるものなど、条件によってはサイトに大きな影響をおよぼす可能性があるものですので、アップデートを行い、最新版を維持するようにしてください。
