WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/01/08-2026/01/14 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 0件
なし
他の脆弱性: 10件
プラグイン: Schedule Post Changes With PublishPress Future: Unpublish, Delete, Change Status, Trash, Change Categories
| 対象製品 | Schedule Post Changes With PublishPress Future: Unpublish, Delete, Change Status, Trash, Change Categories |
| 対象バージョン | 4.9.3までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、不正な操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/06ac994a-1f49-4c7f-ba76-054deaf25c51 |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.3までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、攻撃者が注文IDを列挙し、学生名、メールアドレス、電話番号、請求先住所などの機密データ(個人識別情報)を不正に取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0830d0c3-99c0-423e-99ab-f0c1cbec52d9 |
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.49.1までの全てのバージョン |
| 脆弱性概要 | Forminatorダッシュボードにアクセスする権限を持つユーザーで認証済みの場合に、個人を特定できる情報を含む機密性の高いフォーム送信データをエクスポートすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2b28ddeb-44f5-4d19-b866-94fc2088ee6d |
プラグイン: Relevanssi
| 対象製品 | Relevanssi |
| 対象バージョン | 2.29.0までの全てのバージョン (Relevanssi Premium) 4.26.0までの全てのバージョン (Relevanssi) |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、既存のSQLクエリに追加のSQLクエリを挿入することが可能となり、データベースから機密情報を抽出するために悪用できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/425b4f6d-9f13-4aa7-bc97-d6c221d234ca |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.3までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、任意のクーポンを削除、有効化、無効化、またはゴミ箱に移動することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/46f71f7b-7326-47b6-a23a-68a40f5bb56b |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.3までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、適切な購入フローを経ずに任意のコースに登録することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5de212c9-5c2e-4713-b1ce-022dd84520c3 |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.2までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、任意のコースを修了済みとしてマークすることが可能になる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7b8b111a-9626-41f4-8a13-51f576af0257 |
プラグイン: Schedule Post Changes With PublishPress Future: Unpublish, Delete, Change Status, Trash, Change Categories
| 対象製品 | Schedule Post Changes With PublishPress Future: Unpublish, Delete, Change Status, Trash, Change Categories |
| 対象バージョン | 4.9.3までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、悪意のあるワークフローを作成、更新、削除、公開することが可能になる。 これらのワークフローは、公開または更新時に自動的にあらゆる投稿を削除する可能性があり、管理者によって作成された投稿も含まれる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8198d81a-40c0-49c1-8c38-f5ef6fb911ad |
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.15.12.2までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済の場合に、不正な操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a0c2ba36-8eb0-4a49-9304-2922f248a89d |
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.13.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、任意のショートコードを実行できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b9860e0e-e330-42fc-8a74-336ceb787f39 |
総括
この期間内に報告された脆弱性10件のうち、1件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、9件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
Tutor LMSに複数の脆弱性が報告されています。使用している場合は速やかにアップデートを適用するようにしてください。
今回も多くの脆弱性が報告されました。深刻な脆弱性は多くありませんが、投稿の削除や改ざん、機密情報の取得が可能となるものなどが報告されています。条件によってはサイトに大きな影響をおよぼす可能性があるものですので、アップデートを行い、最新版を維持するようにしてください。
