WordPress テーマ・プラグイン 脆弱性情報のまとめ(2026/01/29-2026/02/04)

Security Advisory for WordPress

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

  • 期間: 2026/01/29-2026/02/04 に報告があったもの
  • 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
    • WordPress.orgにおける "Active installations" が 10万 以上である
    • 日本語の翻訳に対応している

深刻度が高い脆弱性: 1件

プラグイン: Tutor LMS

対象製品Tutor LMS
対象バージョン3.9.5までの全てのバージョン
修正バージョン3.9.6
CVSS高 (8.1)
脆弱性概要3.9.5までの全バージョンに、course_list_bulk_action()、bulk_delete_course()、update_course_status() 関数においてオブジェクト単位の権限チェックが欠落していることによる、Insecure Direct Object References(IDOR)の脆弱性が存在します。
Tutor インストラクター以上の権限を持つユーザーで認証済みの場合に、一括操作リクエスト内のコース ID を操作することで、自身が所有していない任意のコースを変更または削除することが可能となる。
対応方法3.9.6以降にアップデートする
CVEhttps://www.cve.org/CVERecord?id=CVE-2026-1375
公開日2026-02-02 18:41:05 (2026-02-03 07:31:25更新)
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/4e95b32b-c050-41eb-8fce-461257420eb6

他の脆弱性: 4件

プラグイン: ShortPixel Image Optimizer

対象製品ShortPixel Image Optimizer
対象バージョン6.4.2までの全てのバージョン
脆弱性概要編集者以上の権限を持つユーザーで認証済みの場合に、サーバー上の任意のファイルの内容を読み取ることができ、データベースの認証情報や認証キーなどの機密情報を取得することが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/03cb41d2-67c8-457f-8d85-7aede8e12d44

プラグイン: Fluent Forms

対象製品Fluent Forms
対象バージョン6.1.11までの全てのバージョン
脆弱性概要認証されていない攻撃者が、任意のショートコードを実行することが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/2e5602b2-c1ed-40a5-8186-3ab1b5e32f7f

プラグイン: Tutor LMS

対象製品Tutor LMS
対象バージョン3.9.4までの全てのバージョン
脆弱性概要カスタム以上の権限を持つユーザーで認証済みの場合に、許可されていない操作を実行することが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/5849a9f6-715e-4ac8-a0f7-1cd0814fff58

プラグイン: Tutor LMS

対象製品Tutor LMS
対象バージョン3.9.5までの全てのバージョン
脆弱性概要購読者以上の権限を持つユーザーで認証済みの場合に、クーポンコード、割引額、使用状況、コースやバンドルへの適用情報などの機密なクーポン情報を取得することが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/7f5c5f64-a864-4ce1-9080-19f7c4418307

総括

この期間内に報告された脆弱性5件のうち、1件は認証されていない攻撃者に影響を受ける脆弱性で、4件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。

今回報告された脆弱性には、権限チェックの欠落による不正な操作、機密情報の取得、任意のショートコード実行などが含まれています。特に、認証されていない攻撃者が悪用可能な脆弱性や、比較的低い権限のユーザーから機密情報へアクセスできる脆弱性が含まれている点には注意が必要です。

Tutor LMSには3件の脆弱性が報告されています。深刻な脆弱性ばかりではありませんが、投稿やコースの改ざん、機密情報の取得などにつながる可能性があるものが報告されています。条件によってはサイトに大きな影響をおよぼす可能性がありますので、使用しているプラグインに該当するものがある場合は、すみやかにアップデートを行い、最新版を維持するようにしてください。

Security Advisory for WordPress はメールでも配信しています。
こちらからお申し込みください:https://www.prime-strategy.co.jp/mail-magazine/

重要: kusanagi-mod_security_crs 脆弱性情報

KUSANAGI Open Source Licenses | KUSANAGI Business Edition, Premium Edition, Security Edition End-User License Agreement

KUSANAGI ロゴ使用ガイドライン | プライバシーポリシ | 脆弱性情報公開ポリシー | お問い合わせ

© 2015 - 2026 Prime Strategy Co., Ltd. All rights reserved

超高速CMS実行環境 KUSANAGI
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.