WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/11/20-2025/11/26 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 2件
プラグイン: W3 Total Cache
| 対象製品 | W3 Total Cache |
| 対象バージョン | 2.8.12までの全てのバージョン |
| 修正バージョン | 2.8.13 |
| CVSS | 高 (8.1) |
| 脆弱性概要 | 2.8.12までの全バージョンにおいて、_parse_dynamic_mfuncを介したリモートコード実行の脆弱性があります。 認証していない攻撃者が、コメント機能が有効化されて投稿にmfuncタグが不正に挿入された場合に、サーバー上でコードを実行することが可能となります。 なお、これは理論上の問題と認識しており、研究者からの当初の報告を却下したため、当該研究者はWPScanに報告を提出しました。WPScanはCVE IDを割り当てましたが、Wordfenceはこれが真のセキュリティ脆弱性であるとは考えていません。この問題の悪用は理論上のものにとどまり、パスワードへのアクセスと同様に秘密値の取得が必要です。 |
| 対応方法 | 2.8.13以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-9501 |
| 公開日 | 2025-10-27 00:00:00 (2025-11-20 21:43:49更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7cd8f7da-86d4-4e58-8ce8-f1d147fdcdcc |
プラグイン: Code Snippets
| 対象製品 | Code Snippets |
| 対象バージョン | 3.9.1までの全てのバージョン |
| 修正バージョン | 3.9.2 |
| CVSS | 高 (8) |
| 脆弱性概要 | 3.9.1までの全バージョンにおいてPHPコードインジェクションの脆弱性を有します。 これは、 'evaluate_shortcode_from_flat_file 'メソッド内で攻撃者が制御するショートコード属性に対して 'extract()' 関数が使用されているためで、 '$filepath' 変数が上書きされ、その後require_onceに渡される可能性があります。 寄稿者以上の権限を持つユーザーで認証済の場合に、管理者に対して「ファイルベースの実行を有効にする」設定を有効化させ、かつ少なくとも1つのアクティブなコンテンツスニペットを作成させることに成功した場合に、PHPフィルターチェーンを利用した '[code_snippet]' ショートコード経由でサーバー上で任意のPHPコードを実行することが可能となります。 |
| 対応方法 | 3.9.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-13035 |
| 公開日 | 2025-11-18 19:03:25 (2025-11-20 20:27:58更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c7c7247c-2fc3-46ff-858e-2242b7211476 |
他の脆弱性: 4件
プラグイン: Cookie Notice & Compliance for GDPR / CCPA
| 対象製品 | Cookie Notice & Compliance for GDPR / CCPA |
| 対象バージョン | 2.5.8までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/19700658-1bef-4e85-a995-d86fff508cdf |
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.5までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、Webアプリケーションから任意の場所へのWebリクエストを送信できるようになり、内部サービスからの情報の照会や変更に悪用できる。管理者が 'Unsafe features' オプションを明示的に有効にしている場合、寄稿者以上の権限を持つユーザーで悪用可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5cbb7db4-bef7-4799-9b65-ebe77976e21c |
プラグイン: Schedule Post Changes With PublishPress Future: Unpublish, Delete, Change Status, Trash, Change Categories
| 対象製品 | Schedule Post Changes With PublishPress Future: Unpublish, Delete, Change Status, Trash, Change Categories |
| 対象バージョン | 4.9.1までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、REST APIエンドポイントを通じて任意の投稿やページのステータスを変更することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/82ea0ebc-08aa-4ef5-b6b1-c7c13715ef6d |
プラグイン: WP Fastest Cache
| 対象製品 | WP Fastest Cache |
| 対象バージョン | 1.4.0までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、複数のデータベース修正アクションを実行することが可能となる。この影響を受けるのは、プレミアム機能が有効化されているサイトのみ。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c24cf4de-1392-43a8-85a5-8c66c00c44d7 |
総括
この期間内に報告された脆弱性6件のうち、1件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、5件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
深刻度が高い脆弱性のうち、Code Snippetsについては、先週の報告の更新版となります。W3 Total Cacheについては、は理論上の問題となされていますが、アップデートを適用することが望ましいです。
他の脆弱性についても、投稿の削除や改ざん、内部サービスからの情報取得が可能となるものなどが報告されています。できるだけアップデートを行い、最新版を維持するようにしてください。
