WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/01/22-2026/01/28 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 4件
プラグイン: BuddyPress
| 対象製品 | BuddyPress |
| 対象バージョン | 14.3.3までの全てのバージョン |
| 修正バージョン | 14.3.4 |
| CVSS | 高 (7.3) |
| 脆弱性概要 | 14.3.3までの全バージョンに、do_shortcode を実行する処理において値の検証が不十分であるため、任意のショートコード実行を可能にする脆弱性が存在します。 認証されていない攻撃者が細工したリクエストを送信することで、任意のショートコードを実行することが可能となります。 |
| 対応方法 | 14.3.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2024-11976 |
| 公開日 | 2026-01-22 18:30:17 (2026-01-23 06:45:13更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/34c627c1-7838-468e-acb7-eb84ad1b4949 |
プラグイン: File Manager Pro
| 対象製品 | File Manager Pro |
| 対象バージョン | 1.8.5までの全てのバージョン |
| 修正バージョン | 1.8.6 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 1.8.5までの全バージョンに、'fm_locale' パラメータを介したローカル JavaScript ファイルインクルードの脆弱性が存在します。 管理者以上の権限を持つユーザーで認証済みの場合に、任意のファイルをサーバー上で読み込み・実行でき、アクセス制御の回避、機密情報の取得、画像などの「安全」と見なされるファイル形式をアップロード・インクルードできる環境では任意コード実行が可能となります。 なお、本脆弱性はバージョン1.8.5において部分的に修正されています。 |
| 対応方法 | 1.8.6以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2024-9669 |
| 公開日 | 2024-11-27 00:00:00 (2026-01-23 16:08:13更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7d947023-60d3-4bd8-b45d-e1663326d6c1 |
プラグイン: Beaver Builder Page Builder
| 対象製品 | Beaver Builder Page Builder |
| 対象バージョン | 2.9.4.1までの全てのバージョン |
| 修正バージョン | 2.9.4.2 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 2.9.4.1までの全バージョンに、リモートコード実行の脆弱性が存在します。 寄稿者以上の権限を持つユーザーで認証済みの場合に、サーバー上で任意のコードを実行することが可能となります。 |
| 対応方法 | 2.9.4.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-69319 |
| 公開日 | 2026-01-21 00:00:00 (2026-01-28 15:46:28更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8dd3e94d-4397-4f8e-af21-b12e87e0cfb8 |
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 3.3.2までの全てのバージョン |
| 修正バージョン | 3.3.3 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 3.3.2までの全バージョンに、'rest_helpers_update_media_metadata' 関数においてファイルタイプの検証が欠落していることによる、任意のファイルアップロードの脆弱性が存在します。 編集者以上の権限を持つユーザーで認証済みの場合に、影響を受けるサイトのサーバー上へ任意のファイルをアップロードでき、リモートコード実行につながる可能性があります。攻撃者は一見無害な画像ファイルをアップロードした後、'update_media_metadata' エンドポイントを使用してそれを PHP ファイルにリネームすることで、uploads ディレクトリ内に実行可能な PHP ファイルを作成することが可能となります。 |
| 対応方法 | 3.3.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-1400 |
| 公開日 | 2026-01-27 19:28:10 (2026-01-28 08:26:56更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d5227269-4406-4fcf-af37-f1db0af857d6 |
他の脆弱性: 2件
プラグイン: WP Go Maps (formerly WP Google Maps)
| 対象製品 | WP Go Maps (formerly WP Google Maps) |
| 対象バージョン | 10.0.04までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、global map engineの設定を変更することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7f0741c1-a5d7-41a4-a739-2cb7cb836509 |
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 3.3.2までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、プラグイン設定で「Public API」が有効、かつサーバーの 'allow_url_fopen' が 'On' に設定されている環境において、Web アプリケーションを起点として任意の宛先へ Web リクエストを送信でき、内部サービスの情報取得や変更が可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/cbba866d-93dd-4ef5-9670-ab958f61f06e |
総括
この期間内に報告された脆弱性6件のうち、1件は認証していない攻撃者(誰でも攻撃できる)に影響を受ける脆弱性で、5件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今回報告された脆弱性には、任意のショートコード実行、任意のファイルアップロード、リモートコード実行、内部サービスへの不正なリクエスト送信などが含まれています。
これらの脆弱性の多くは認証済ユーザーが前提となるものですが、比較的低い権限から悪用可能なものもあり、条件によってはサイトに大きな影響をおよぼす可能性があります。
深刻な脆弱性ばかりではありませんが、設定の改ざんや機密情報の取得、任意コード実行につながる可能性があるものも報告されています。
使用しているプラグインに該当するものがある場合は、すみやかにアップデートを行い、最新版を維持するようにしてください。
