WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/02/05-2026/02/11 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
プラグイン: Ninja Forms
| 対象製品 | Ninja Forms |
| 対象バージョン | 3.14.0までの全てのバージョン |
| 修正バージョン | 3.14.1 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 3.14.0 までの全バージョンに、機密情報の漏洩の脆弱性が存在します。これは、リピーターフィールド内でユーザー入力に対して 'ninja_forms_merge_tags' フィルターを安全でない形で適用していることに起因します。その結果、認可チェックが行われないまま '{post_meta:KEY}' マージタグが解決可能となります。 認証されていない攻撃者が 'nf_ajax_submit AJAX' アクションを通じて、サイト上の任意の投稿に紐づくポストメタデータを取得することが可能となります。これには、WooCommerce の請求先メールアドレス、API キー、プライベートトークン、顧客の個人情報などの機密情報が含まれます。 |
| 対応方法 | 3.14.1以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-2268 |
| 公開日 | 2026-02-09 20:41:41 (2026-02-10 09:26:07更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/24902fab-44ea-44c9-bcf5-70960cfeb402 |
他の脆弱性: 8件
プラグイン: Fluent Forms
| 対象製品 | Fluent Forms |
| 対象バージョン | 6.1.14までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、フォームを閲覧する任意のユーザーのコンテキストで任意のスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/00192a36-4b75-4dae-9a6e-0afb02ed5bad |
プラグイン: ShortPixel Image Optimizer
| 対象製品 | ShortPixel Image Optimizer |
| 対象バージョン | 6.4.2までの全てのバージョン |
| 脆弱性概要 | 編集者以上の権限を持つユーザーで認証済みの場合に、サーバー上の任意のファイルの内容を読み取ることが可能となり、データベースの認証情報や認証キーなどの機密情報を取得される可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/03cb41d2-67c8-457f-8d85-7aede8e12d44 |
プラグイン: Converter for Media
| 対象製品 | Converter for Media |
| 対象バージョン | 6.5.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、Web アプリケーションを起点として任意の場所へ Web リクエストを送信することが可能となり、内部サービスの情報の取得や改ざんが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/188d812c-2955-4b0c-ae1c-b42c0f60b73b |
プラグイン: XML Sitemap Generator for Google
| 対象製品 | XML Sitemap Generator for Google |
| 対象バージョン | 4.1.22までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、認可されていない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2ea32997-9fe3-4f31-9c3a-28bc14af3713 |
プラグイン: Code Snippets
| 対象製品 | Code Snippets |
| 対象バージョン | 3.9.4までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、悪意のあるページへ管理者を誘導できた場合に、細工したリクエストによりログイン中の管理者に対して同意なくクラウドスニペットのダウンロードまたは更新を強制することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4a5787f3-6a16-491a-aa01-6222f275cf0f |
プラグイン: Beaver Builder Page Builder
| 対象製品 | Beaver Builder Page Builder |
| 対象バージョン | 2.10.0.5までの全てのバージョン |
| 脆弱性概要 | Beaver Builder へのアクセス権を付与されたカスタム以上の権限を持つユーザーで認証済みの場合に、ページへ任意のスクリプトを挿入し、そのページにアクセスしたユーザーのコンテキストで当該スクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7f7827bb-44d7-432d-85aa-3fdb117e1898 |
プラグイン: Yoast SEO
| 対象製品 | Yoast SEO |
| 対象バージョン | 26.8までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のスクリプトを挿入し、そのページにアクセスしたユーザーのコンテキストで当該スクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8b2e7c2d-ed2f-439b-9cee-f2e5d46121b6 |
プラグイン: Migration, Backup, Staging
| 対象製品 | Migration, Backup, Staging |
| 対象バージョン | 0.9.123までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、'wpvivid_action=send_to_site' パラメータを通じて公開ディレクトリに任意の PHP ファイルをアップロードし、リモートコード実行を行うことが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e5af0317-ef46-4744-9752-74ce228b5f37 |
総括
この期間内に報告された脆弱性9件のうち、5件は認証されていない攻撃者に影響を受ける脆弱性で、4件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今回報告された脆弱性には、機密情報の取得、任意ファイルの読み取り、任意のスクリプト実行(保存型XSS)、内部サービスへの不正なリクエスト送信(SSRF)、不正操作の実行強制、任意のPHPファイルアップロードによるリモートコード実行などが含まれています。特に、認証されていない攻撃者が悪用可能な脆弱性や、比較的低い権限から任意のスクリプト実行や機密情報へアクセスできる脆弱性が含まれている点には注意が必要です。
深刻な脆弱性でなくとも、機密情報の漏えいやサイト改ざん、任意コード実行などにつながる可能性があるものも報告されおり、条件によってはサイトに大きな影響をおよぼす可能性があります。使用しているプラグインに該当するものがある場合は、すみやかにアップデートを行い、最新版を維持するようにしてください。
