WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/12/11-2025/12/17 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
プラグイン: Ninja Forms
| 対象製品 | Ninja Forms |
| 対象バージョン | 3.13.2までの全てのバージョン |
| 修正バージョン | 3.13.3 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 3.13.2までの全てのバージョンにおいて、安全ではない直接オブジェクト参照の脆弱性が存在します。これは、'ninja-forms-views' RESTエンドポイントがフォームメタデータと送信内容を返す前に、プラグインがユーザーの認証を適切に検証していないためです。 認証していない攻撃者が、Submissions Tableブロックを含む任意のページを読み込める場合、漏洩したベアラートークンを介して任意のフォーム定義や送信記録を読み取ことができます。 注意:開発者はこの問題に対する修正を3.13.1でリリースしましたが、誤って有効なベアラートークンを任意のフォームIDに対して発行可能なREST APIエンドポイントを導入したため、この修正は効果を発揮しませんでした。 |
| 対応方法 | 3.13.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-11924 |
| 公開日 | 2025-12-16 18:41:16 (2025-12-17 06:42:32更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4240cdae-9122-443e-8a7e-3369e74384be |
他の脆弱性: 18件
プラグイン: Elementor Website Builder
| 対象製品 | Elementor Website Builder |
| 対象バージョン | 3.33.3までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびに実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1a73c078-ce66-4131-8bd7-6fd48fc9fa84 |
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.32までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、機密性の高いユーザーデータや設定データを抽出できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/244eba91-343a-4e91-96b8-207686d02ce6 |
プラグイン: Schedule Post Changes With PublishPress Future: Unpublish, Delete, Change Status, Trash, Change Categories
| 対象製品 | Schedule Post Changes With PublishPress Future: Unpublish, Delete, Change Status, Trash, Change Categories |
| 対象バージョン | 4.9.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、edit_posts権限を持つ全ユーザーのメールを取得できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2f67da8c-da60-4c77-a8b8-7dfc027662e9 |
プラグイン: FileBird
| 対象製品 | FileBird |
| 対象バージョン | 6.5.1までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、特定の状況下でグローバルフォルダを挿入し、それらのフォルダに任意のメディア添付ファイルを再割り当てできる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/59592b27-d431-499a-b3c3-3d43a5513c36 |
プラグイン: Post SMTP
| 対象製品 | Post SMTP |
| 対象バージョン | 3.6.1までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、無効なOAuth認証情報や攻撃者が制御するOAuth認証情報を注入できる。CVE-2025-67563はこの問題の重複報告。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5bd9f312-99e1-4dc2-855d-90339c2e24da |
プラグイン: Elementor Website Builder
| 対象製品 | Elementor Website Builder |
| 対象バージョン | 3.33.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、不正な操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6a290ec5-1b31-431f-9eda-76302dc3784a |
プラグイン: GenerateBlocks
| 対象製品 | GenerateBlocks |
| 対象バージョン | 2.1.2までの全てのバージョン(GenerateBlocks) |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、 'get_user_meta_rest' 関数経由で公開されたエンドポイントを通じてユーザーメタキーを直接クエリすることで、管理者アカウントやその他のユーザーの個人識別情報(PII)やその他の機密プロファイルデータを漏洩させることができる。典型的なWordPress + WooCommerce環境では、WooCommerceがユーザーメタに保存する名前、メールアドレス、電話番号、住所フィールドなどが対象となり、標的型フィッシング、アカウント乗っ取りの口実、プライバシー侵害を可能にする。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6affdb56-39cc-4749-b7cb-b80b7666f028 |
プラグイン: Ultimate Member
| 対象製品 | Ultimate Member |
| 対象バージョン | 2.11.0までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたユーザーのプロファイルページにアクセスするたびに実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/876b57e0-cf1e-4ce9-ba85-a5d4554797bd |
プラグイン: Custom Post Type UI
| 対象製品 | Custom Post Type UI |
| 対象バージョン | 1.18.1までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入された Tools → Get Code ページにアクセスするたびに実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/890c743e-da5e-46ed-a011-cecd24778163 |
プラグイン: TI WooCommerce Wishlist
| 対象製品 | TI WooCommerce Wishlist |
| 対象バージョン | 2.10.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ウィッシュリスト項目に任意のHTMLを注入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8d08d381-d0ef-4f40-975d-51e919a7c872 |
プラグイン: YITH WooCommerce Quick View
| 対象製品 | YITH WooCommerce Quick View |
| 対象バージョン | 2.7.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8d44dcef-6330-4ef6-8385-923e88db669f |
プラグイン: Widgets for Google Reviews
| 対象製品 | Widgets for Google Reviews |
| 対象バージョン | 13.2.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/94974552-1c52-417b-9b4e-c30fd13a8ad4 |
プラグイン: Converter for Media
| 対象製品 | Converter for Media |
| 対象バージョン | 6.3.2までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、任意の添付ファイルに対して最適化されたWebP/AVIF形式のバリエーションを削除できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9a31190f-e2ed-46ee-a224-85a0a003738d |
プラグイン: Login Lockdown & Protection
| 対象製品 | Login Lockdown & Protection |
| 対象バージョン | 2.14までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、不正なログイン試行によるブロックを回避できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9c732ea2-0263-4b18-9aa4-29e387b26362 |
プラグイン: Ultimate Member
| 対象製品 | Ultimate Member |
| 対象バージョン | 2.11.0までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、管理者によってその役割に対して明示的に無効化されている場合でも、直接的なパラメータ操作を通じて自身のプロフィールプライバシー設定(例:プロフィールを「自分だけ」に設定)を変更できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/aad57a68-c385-491f-a5a2-32906df4b52b |
プラグイン: Popup Builder
| 対象製品 | Popup Builder |
| 対象バージョン | 4.4.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/beb6b26a-3fe1-44e0-9fda-97b288abf735 |
プラグイン: PDF Invoices & Packing Slips for WooCommerce
| 対象製品 | PDF Invoices & Packing Slips for WooCommerce |
| 対象バージョン | 4.9.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、不正な操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d2053171-a213-43bf-bd15-2f42a178c3a8 |
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.32までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、保護されたメディア添付ファイルのパスワードやアクセス制御設定を取得することが可能となり、これを利用して意図されたメディア保護を迂回し、制限付きファイルをダウンロードできる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f2cdd50d-6290-4cef-a72c-2e9d680d4f1f |
総括
この期間内に報告された脆弱性19件のうち、3件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、16件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今回は非常に多くの脆弱性が報告されました。深刻な脆弱性は多くありませんが、投稿の削除や改ざんが可能となるものなどが報告されています。条件によってはサイトに大きな影響をおよぼす可能性があるものですので、アップデートを行い、最新版を維持するようにしてください。
