WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/01/29-2026/02/04 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.5までの全てのバージョン |
| 修正バージョン | 3.9.6 |
| CVSS | 高 (8.1) |
| 脆弱性概要 | 3.9.5までの全バージョンに、course_list_bulk_action()、bulk_delete_course()、update_course_status() 関数においてオブジェクト単位の権限チェックが欠落していることによる、Insecure Direct Object References(IDOR)の脆弱性が存在します。 Tutor インストラクター以上の権限を持つユーザーで認証済みの場合に、一括操作リクエスト内のコース ID を操作することで、自身が所有していない任意のコースを変更または削除することが可能となる。 |
| 対応方法 | 3.9.6以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-1375 |
| 公開日 | 2026-02-02 18:41:05 (2026-02-03 07:31:25更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4e95b32b-c050-41eb-8fce-461257420eb6 |
他の脆弱性: 4件
プラグイン: ShortPixel Image Optimizer
| 対象製品 | ShortPixel Image Optimizer |
| 対象バージョン | 6.4.2までの全てのバージョン |
| 脆弱性概要 | 編集者以上の権限を持つユーザーで認証済みの場合に、サーバー上の任意のファイルの内容を読み取ることができ、データベースの認証情報や認証キーなどの機密情報を取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/03cb41d2-67c8-457f-8d85-7aede8e12d44 |
プラグイン: Fluent Forms
| 対象製品 | Fluent Forms |
| 対象バージョン | 6.1.11までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、任意のショートコードを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2e5602b2-c1ed-40a5-8186-3ab1b5e32f7f |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.4までの全てのバージョン |
| 脆弱性概要 | カスタム以上の権限を持つユーザーで認証済みの場合に、許可されていない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5849a9f6-715e-4ac8-a0f7-1cd0814fff58 |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.5までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、クーポンコード、割引額、使用状況、コースやバンドルへの適用情報などの機密なクーポン情報を取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7f5c5f64-a864-4ce1-9080-19f7c4418307 |
総括
この期間内に報告された脆弱性5件のうち、1件は認証されていない攻撃者に影響を受ける脆弱性で、4件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今回報告された脆弱性には、権限チェックの欠落による不正な操作、機密情報の取得、任意のショートコード実行などが含まれています。特に、認証されていない攻撃者が悪用可能な脆弱性や、比較的低い権限のユーザーから機密情報へアクセスできる脆弱性が含まれている点には注意が必要です。
Tutor LMSには3件の脆弱性が報告されています。深刻な脆弱性ばかりではありませんが、投稿やコースの改ざん、機密情報の取得などにつながる可能性があるものが報告されています。条件によってはサイトに大きな影響をおよぼす可能性がありますので、使用しているプラグインに該当するものがある場合は、すみやかにアップデートを行い、最新版を維持するようにしてください。
