WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/12/25-2026/01/07 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 3件
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.40までの全てのバージョン |
| 修正バージョン | 3.3.41 |
| CVSS | 高 (7.3) |
| 脆弱性概要 | 3.3.40までの全バージョンに、アカウント乗っ取りによる権限昇格の脆弱性が存在します。これは、パスワードなどの詳細情報を更新する前に、プラグインがユーザーの身元を適切に検証しないことに起因します。 認証されていない攻撃者が管理者以外のユーザーのパスワードを変更し、それを悪用してアカウントへのアクセス権を取得することが可能となります。 |
| 対応方法 | 3.3.41以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-15364 |
| 公開日 | 2026-01-05 13:11:34 (2026-01-06 01:50:12更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/067031e8-6aa8-451c-a318-b1848c7a4f92 |
プラグイン: Ninja Forms
| 対象製品 | Ninja Forms |
| 対象バージョン | 3.13.2までの全てのバージョン |
| 修正バージョン | 3.13.3 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 3.13.2までの全バージョンに、 /ninja-forms-views/token/refresh 関数に対する権限チェックが欠落しているため、データへの不正アクセスを可能にする脆弱性が存在します。 認証されていない攻撃者がトークンを生成し、任意のフォーム送信内容を閲覧することが可能となります。 |
| 対応方法 | 3.13.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-14072 |
| 公開日 | 2025-12-12 00:00:00 (2026-01-06 16:31:53更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/89f7c342-1526-4702-88ac-ce37d158d9b2 |
プラグイン: Advanced Ads – Ad Manager & AdSense
| 対象製品 | Advanced Ads – Ad Manager & AdSense |
| 対象バージョン | 2.0.14までの全てのバージョン |
| 修正バージョン | 2.0.15 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 2.0.14までの全バージョンにおいて、「change-ad__content」ショートコードパラメータを介したリモートコード実行の脆弱性が存在します。 編集者以上の権限を持つユーザーで認証済みの場合に、サーバー上でコードを実行することが可能となります。 |
| 対応方法 | 2.0.15以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-13592 |
| 公開日 | 2025-12-29 06:04:25 (2025-12-29 18:20:51更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f9e83561-aa71-4984-8a26-207e208d70e8 |
他の脆弱性: 7件
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.3までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、攻撃者が注文IDを列挙し、学生名、メールアドレス、電話番号、請求先住所などの機密データ(個人識別情報)を不正に取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0830d0c3-99c0-423e-99ab-f0c1cbec52d9 |
プラグイン: Crowdsignal Forms
| 対象製品 | Crowdsignal Forms |
| 対象バージョン | 1.7.2までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、不正な操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/53d12736-56d3-454f-9593-74f758d0605d |
プラグイン: Astra Widgets
| 対象製品 | Astra Widgets |
| 対象バージョン | 1.2.16までの全てのバージョン |
| 脆弱性概要 | 編集者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびに実行される、任意のウェブスクリプトをページに挿入できる。 これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b28634d1-6489-4ac2-9d64-2b7409fd462e |
プラグイン: WebP Express
| 対象製品 | WebP Express |
| 対象バージョン | 0.25.9までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、設定データを抽出することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c28479bf-768a-4ab4-8e74-ad367b9b744f |
プラグイン: TI WooCommerce Wishlist
| 対象製品 | TI WooCommerce Wishlist |
| 対象バージョン | 2.10.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、不正な操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/cc938f6b-29fd-4f4f-b569-8b81a607ad47 |
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.13.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、リンクをクリックするなどの操作を管理者に実行させることで、不正な操作を実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e6a7ec29-6dc6-4c73-8cc4-4aa4da79941e |
プラグイン: Fluent Forms
| 対象製品 | Fluent Forms |
| 対象バージョン | 6.1.7までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、公開されているAI builderを通じて任意のフォームを作成することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f7dbf179-7099-4dfb-8dad-780f996a7005 |
総括
本年もよろしくお願いいたします。
年末年始の休業があったため、二週間分をまとめての投稿となります。
この期間内に報告された脆弱性10件のうち、5件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、5件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
操作の内容が限られてはいるものの、認証していない攻撃者によって影響を受ける脆弱性が多く報告されています。速やかにアップデートを適用し、最新版を維持するようにしてください。
また、認証済の場合に影響を受ける脆弱性への対策としても、引き続き、管理画面を保護する、強固なパスワードを利用するなどの基本的な対策を行ってください。
