WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/01/15-2026/01/21 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
プラグイン: Ninja Forms
| 対象製品 | Ninja Forms |
| 対象バージョン | 3.13.2までの全てのバージョン |
| 修正バージョン | 3.13.3 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 3.13.2までの全バージョンに、データへの不正アクセスが可能な脆弱性が存在します。これは、/ninja-forms-views/token/refresh関数に対する権限チェックが欠落していることに起因します。 認証されていない攻撃者がトークンを生成し、任意のフォーム送信内容を閲覧することが可能となります。 これはCVE-2025-11924の重複報告です。 |
| 対応方法 | 3.13.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-14072 |
| 公開日 | 2025-12-12 00:00:00(2026-01-21 16:53:08更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/89f7c342-1526-4702-88ac-ce37d158d9b2 |
他の脆弱性: 7件
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.4までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、サイト上の任意の添付ファイルを削除することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0e475e02-494a-4ad0-a83c-d027c3a32989 |
プラグイン: WooCommerce
| 対象製品 | WooCommerce |
| 対象バージョン | 10.0から10.0.4までの全てのバージョン 10.1から10.1.2までの全てのバージョン 10.2から10.2.2までの全てのバージョン 10.3から10.3.6までの全てのバージョン 8.1から8.1.2までの全てのバージョン 8.2から8.2.3までの全てのバージョン 8.3から8.3.2までの全てのバージョン 8.4から8.4.1までの全てのバージョン 8.5から8.5.3までの全てのバージョン 8.6から8.6.2までの全てのバージョン 8.7から8.7.1までの全てのバージョン 8.8から8.8.5までの全てのバージョン 8.9から8.9.3までの全てのバージョン 9.0から9.0.2までの全てのバージョン 9.1から9.1.4までの全てのバージョン 9.2から9.2.3までの全てのバージョン 9.3から9.3.4までの全てのバージョン 9.4から9.4.3までの全てのバージョン 9.5から9.5.2までの全てのバージョン 9.6から9.6.2までの全てのバージョン 9.7から9.7.1までの全てのバージョン 9.8から9.8.5までの全てのバージョン 9.9から9.9.5までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、機密性の高いユーザーデータや設定データを抽出できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/137327c8-01cb-4074-9424-89d826a9586e |
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.15.13までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、Cutom Tables V1データベース移行を開始、キャンセル、または元に戻すことが可能となる。これには、元に戻す操作を通じてカスタムデータベーステーブルを完全に削除することも含まれる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/346a5b00-fb76-4413-a935-a2df4dc51984 |
プラグイン: Photo Gallery by 10Web
| 対象製品 | Photo Gallery by 10Web |
| 対象バージョン | 1.8.36までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、任意の画像コメントを削除することが可能になる。なお、コメント機能はプラグインのPro版でのみ利用できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4eb2ae42-584d-4da8-9184-461b5a37b7b6 |
プラグイン: Advanced Ads – Ad Manager & AdSense
| 対象製品 | Advanced Ads – Ad Manager & AdSense |
| 対象バージョン | 2.0.15までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、既存のSQLクエリに追加のSQLクエリを挿入することが可能となり、データベースから機密情報を抽出するために悪用できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/729e8a06-abaa-4468-8a80-1e5c6cbace92 |
プラグイン: Advanced Custom Fields: Extended
| 対象製品 | Advanced Custom Fields: Extended |
| 対象バージョン | 0.9.2.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、登録時に「管理者」ロールを指定し、サイトへの管理者アクセス権を取得することができる。なお、この脆弱性は、 'role' がカスタムフィールドにマッピングされている場合にのみ影響を受ける。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d44f8af2-3525-4b00-afa8-a908250cc838 |
プラグイン: All in One SEO
| 対象製品 | All in One SEO |
| 対象バージョン | 4.9.2までの全てのバージョン(All in One SEO – Powerful SEO Plugin to Boost SEO Rankings & Increase Traffic) |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、グローバルAIアクセストークンを漏洩させることができる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f47d53e1-42ac-425e-a6f2-901a6d26845d |
総括
この期間内に報告された脆弱性8件のうち、3件は認証していない攻撃者 (誰でも攻撃できる) に影響を受ける脆弱性で、5件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
引き続き認証していない攻撃者によって影響を受ける脆弱性が多く報告されています。
深刻度が高くない脆弱性であっても、条件によってはサイトに大きな影響をおよぼす可能性があるものです。すみやかにアップデートを行い、最新版を維持するようにしてください。
