WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/12/18-2025/12/24 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
プラグイン: Beaver Builder Page Builder
| 対象製品 | Beaver Builder Page Builder |
| 対象バージョン | 2.9.4.1までの全てのバージョン |
| 修正バージョン | 2.9.4.2 |
| CVSS | 高 (8.1) |
| 脆弱性概要 | 2.9.4.1までの全バージョンに、 'duplicate_wpml_layout' 関数に対する権限チェックが欠落しているため、不正アクセスやデータ改ざんの脆弱性が存在します。 購読者以上の権限を持つユーザーで認証済の場合に、任意の投稿を他の既存投稿の内容で更新することが可能となり、非公開コンテンツやパスワード保護されたコンテンツが漏洩する恐れがあります。また、リビジョンやバックアップに保存されていないコンテンツは削除される可能性があります。 コピーまたは更新対象となる投稿は、Beaver Builderで作成されたものである必要があります。 |
| 対応方法 | 2.9.4.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-12934 |
| 公開日 | 2025-12-22 00:00:00 (2025-12-23 09:20:03更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/bc2db74d-61b9-498a-a0d8-e43466b06f37 |
他の脆弱性: 15件
プラグイン: TI WooCommerce Wishlist
| 対象製品 | TI WooCommerce Wishlist |
| 対象バージョン | 2.10.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、不正な操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/21d79573-59af-44e4-b9b0-7fc712bae48c |
プラグイン: XML Sitemap Generator for Google
| 対象製品 | XML Sitemap Generator for Google |
| 対象バージョン | 4.1.21までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、不正な操作を実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2ea32997-9fe3-4f31-9c3a-28bc14af3713 |
プラグイン: Admin and Site Enhancements (ASE)
| 対象製品 | Admin and Site Enhancements (ASE) |
| 対象バージョン | 8.0.8までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、不正な操作を実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4d7f2cea-f132-4881-9632-ee07a7b9d6b8 |
プラグイン: Ultimate Member
| 対象製品 | Ultimate Member |
| 対象バージョン | 2.11.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザー名、表示名、ユーザーロール(管理者アカウントを含む)、プロフィール URL、ユーザー ID などの機密データを抽出できる。そのためには、予測可能な directory_id 値を列挙するか、16^5 という小さなトークン空間を総当たり攻撃することになる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/61337d2d-d15a-45f2-b730-fc034eb3cd31 |
プラグイン: Migration, Backup, Staging
| 対象製品 | Migration, Backup, Staging |
| 対象バージョン | 0.9.120までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、任意のディレクトリを作成できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/662aa8dd-69b7-49e3-811c-04329544e106 |
プラグイン: FiboSearch
| 対象製品 | FiboSearch |
| 対象バージョン | 1.32.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびに実行される、任意のウェブスクリプトをページに挿入できる。 この脆弱性は、 TheGem theme (premium) がインストールされ、 Header Builder mode が有効化されていること、および TheGem integration にFiboSearchの "Replace search bars" オプションが有効化されていることを必要とする。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8149103e-105d-401d-8a15-b07d131baaac |
プラグイン: Health Check & Troubleshooting
| 対象製品 | Health Check & Troubleshooting |
| 対象バージョン | 1.7.1までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合に、当初意図されたディレクトリ外のファイルに対して操作を実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/941aef7f-435b-4e59-8d55-f95800233c80 |
プラグイン: Ultimate Member
| 対象製品 | Ultimate Member |
| 対象バージョン | 2.11.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびに実行される、任意のウェブスクリプトをページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b4c06548-238d-4b75-8f20-d7de6fc21539 |
プラグイン: Broken Link Checker by AIOSEO
| 対象製品 | Broken Link Checker by AIOSEO |
| 対象バージョン | 1.2.6までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、既存のSQLクエリに追加のSQLクエリを挿入することが可能となり、データベースから機密情報を抽出するために悪用できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c384d6c2-8aba-48ce-b989-66bcaa3ec4bf |
プラグイン: Advanced Database Cleaner
| 対象製品 | Advanced Database Cleaner |
| 対象バージョン | 3.1.6までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、リンクをクリックするなどの操作を管理者に実行させることで、不正な操作を実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c3c5a2b6-9df1-45e9-832d-53e4a397aebf |
プラグイン: Depicter — Popup & Slider Builder
| 対象製品 | Depicter — Popup & Slider Builder |
| 対象バージョン | 4.0.4までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、リンクをクリックするなどの操作を管理者に実行させることで、偽造リクエストを通じてドキュメントのルールを変更できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c54e5cd9-cc51-4367-afe0-11a6abfc0437 |
プラグイン: All in One SEO
| 対象製品 | All in One SEO |
| 対象バージョン | 4.8.6.1までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、機密性の高いユーザーデータや設定データを抽出できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d77a47e9-0d34-4a88-a913-74a8ef972f9b |
プラグイン: Feeds for YouTube (YouTube video, channel, and gallery plugin)
| 対象製品 | Feeds for YouTube (YouTube video, channel, and gallery plugin) |
| 対象バージョン | 2.4.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、不正な操作を実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ea2e1593-56e6-4e78-a895-51a6bebeaf75 |
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.32までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、保護されたメディア添付ファイルのパスワードやアクセス制御設定を取得することが可能となり、これを利用して意図されたメディア保護を迂回し、制限付きファイルをダウンロードできる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f2cdd50d-6290-4cef-a72c-2e9d680d4f1f |
プラグイン: All in One SEO
| 対象製品 | All in One SEO |
| 対象バージョン | 4.9.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、既存のSQLクエリに追加のSQLクエリを挿入することが可能となり、データベースから機密情報を抽出するために悪用できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f6043cff-f2b7-46bb-b00d-96bfcd69e54e |
総括
この期間内に報告された脆弱性16件のうち、6件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、10件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今年の 2/27 から開始した WordPress テーマ・プラグイン 脆弱性情報のまとめ ですが、これが2025年の最後の投稿となります。
2025年は途中からではありますが、 深刻度が高い脆弱性がのべ58件、他の脆弱性がのべ310件でした。
このうち認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性がのべ106件、少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性がのべ235件となっています。 (影響を受ける権限が不明なものがあるため、合計が一致しません)
このように1年を通してみると、誰でも攻撃できる脆弱性が 1/3 程度と大きいことが見えてきます。
管理画面を保護する、強固なパスワードを利用するなどの基本的な対策を行って、認証済の場合に影響を受ける脆弱性へ対策することは当然として、できるだけアップデートを行い、最新版を維持するが重要であることが分かります。
年末・年始はサイトの管理や異常の確認・対応が難しくなる時期になります。
今年の脆弱性対応は年内に、ではありませんが、サイトのセキュリティ対策を万全にして新年を迎えられるようにしましょう。
