WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/12/04-2025/12/10 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
プラグイン: Widgets for Google Reviews
| 対象製品 | Widgets for Google Reviews |
| 対象バージョン | 13.2.4までの全てのバージョン |
| 修正バージョン | 13.2.5 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 13.2.4までの全バージョンに、プラグインによってインポートされたGoogleレビューデータに対する入力のサニタイズと出力のエスケープが不十分であるため、Stored Cross-Site Scriptingの脆弱性が存在します。 認証していない攻撃者が、脆弱なサイトに接続されたGoogleプレイスに悪意のあるレビューを追加できる場合、ユーザーがインポートされたレビューにアクセスするたびに管理パネル (および場合によってはフロントエンド) で実行される、任意のウェブスクリプトを挿入できます。 |
| 対応方法 | 13.2.5以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-12510 |
| 公開日 | 2025-12-05 15:07:55 (2025-12-06 03:27:05更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7adf3335-ed13-43f4-a5f3-05e89be44d2d |
他の脆弱性: 9件
プラグイン: Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content
| 対象製品 | Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content |
| 対象バージョン | 4.16.7までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、'pp_preview_form' エンドポイント経由で任意のショートコードを実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4736d139-814e-4eeb-91e8-5ee41fc35a8f |
プラグイン: Cookie Notice & Compliance for GDPR / CCPA
| 対象製品 | Cookie Notice & Compliance for GDPR / CCPA |
| 対象バージョン | 2.5.8までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびに実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/667b11ff-496f-4560-b751-7bb25bcd7cbb |
プラグイン: Beaver Builder Page Builder
| 対象製品 | Beaver Builder Page Builder |
| 対象バージョン | 2.9.4までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、任意の投稿やページでBeaver Builderレイアウトを無効化することが可能となり、それらのページでコンテンツの整合性問題やレイアウトの乱れを引き起こせる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/710ed734-ca98-4ab3-82d5-359e683ee062 |
プラグイン: Custom Post Type UI
| 対象製品 | Custom Post Type UI |
| 対象バージョン | 1.18.0までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、限定的な状況下でカスタム投稿タイプを追加、編集、または削除できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/90d203b1-9426-4eff-b566-02c8a1c6adfa |
プラグイン: Widgets for Google Reviews
| 対象製品 | Widgets for Google Reviews |
| 対象バージョン | 13.2.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびに実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/94974552-1c52-417b-9b4e-c30fd13a8ad4 |
プラグイン: TI WooCommerce Wishlist
| 対象製品 | TI WooCommerce Wishlist |
| 対象バージョン | 2.10.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびに実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c0701e57-0771-48a2-ae1b-6429b27ce98f |
プラグイン: Fluent Forms
| 対象製品 | Fluent Forms |
| 対象バージョン | 6.1.7までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、有効な送信識別子を推測または列挙できる場合に、エンドポイントへの細工されたリクエストを通じて任意の送信を失敗としてマークできる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c2aee799-4e4c-4a41-8b76-e2ad576fe2e2 |
プラグイン: Beaver Builder Page Builder
| 対象製品 | Beaver Builder Page Builder |
| 対象バージョン | 2.9.4までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、プライベート添付ファイルのパスやメタデータを含む機密データを抽出することが可能となり、これを利用して添付ファイルを閲覧できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/eb2f6c67-ef4a-4afc-bd61-6c0185e354a8 |
プラグイン: Translate WordPress
| 対象製品 | Translate WordPress |
| 対象バージョン | 6.0.20までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、管理者への通知を無視させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ec894433-53c8-4d04-bb8a-92c66cbd2ce7 |
総括
この期間内に報告された脆弱性10件のうち、3件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、7件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
Widgets for Google Reviewsの脆弱性は、Googleのレビューの内容をプラグインがインポートする機能を悪用し、レビューの中に仕込まれたウェブスクリプトなどをWordPressのサイトで実行させるというものです。
Googleのレビューに限らず、ソーシャルメディアのデータやフィードなど、誰でも変更することができる外部のデータには、悪意のあるスクリプトなどを仕込むことができるということを常に念頭に置いた方がよいです。
このプラグインに限らず、似たような機能を有するプラグインや、独自に開発した機能でもサニタイズをきちんと行っているか、といった確認をこれを機会に行ってください。
他の脆弱性についてもできるだけアップデートを行い、最新版を維持するようにしてください。
