WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/02/12-2026/02/18 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
プラグイン: BackWPup
| 対象製品 | BackWPup |
| 対象バージョン | 5.6.2までの全てのバージョン |
| 修正バージョン | 5.6.3 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 5.6.2までの全バージョンに、'save_site_option()' 関数において権限チェックが欠落していることによる、データの不正な変更および権限昇格につながる脆弱性が存在します。 level以上 (※原文のまま) の権限を持つユーザーで認証済みの場合に、WordPress サイトの任意のオプションを更新することが可能となる。これにより、新規登録ユーザーのデフォルト権限を管理者に変更し、ユーザー登録を有効化することで、攻撃者が管理者権限を取得することが可能となる。 |
| 対応方法 | 5.6.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-15041 |
| 公開日 | 2026-02-18 00:00:00 (2026-02-18 16:25:34更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2ab8f440-2910-41a3-8bbc-afb4cafd33b5 |
他の脆弱性: 14件
プラグイン: Converter for Media
| 対象製品 | Converter for Media |
| 対象バージョン | 6.5.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、Webアプリケーションを起点として任意の宛先へWebリクエストを送信でき、内部サービスの情報取得や変更を行うことが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/188d812c-2955-4b0c-ae1c-b42c0f60b73b |
プラグイン: VK All in One Expansion Unit
| 対象製品 | VK All in One Expansion Unit |
| 対象バージョン | 9.112.3までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1e7efb39-fada-4167-825c-21cc31948a63 |
プラグイン: PDF Invoices & Packing Slips for WooCommerce
| 対象製品 | PDF Invoices & Packing Slips for WooCommerce |
| 対象バージョン | 5.6.0までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、Peppol 請求を利用している環境において任意の 'order_id' パラメータを指定することで、任意の顧客の Peppol/EDI エンドポイント識別子('peppol_endpoint_id'、'peppol_endpoint_eas')を変更することが可能となる。これにより、Peppol ネットワーク上の注文ルーティングに影響を与え、支払いの混乱や情報漏えいが発生する可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2e1922c6-e63b-47aa-97de-1e2382fa25d3 |
プラグイン: Yoast Duplicate Post
| 対象製品 | Yoast Duplicate Post |
| 対象バージョン | 3.2.4までの全てのバージョン |
| 脆弱性概要 | 管理者などの高い権限を持つユーザーで認証済みの場合に、'duplicate_post_title_prefix' などの複数のパラメータを介して管理画面ページへ任意のウェブスクリプトを挿入することが可能となる。なお、本脆弱性はマルチサイト構成、または unfiltered_html が無効化されている環境にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/32272237-43c1-4b77-b586-9fad4af279e4 |
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.46までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザーにリンクをクリックさせるなどの操作を行わせることに成功した場合に、ページへ任意のウェブスクリプトを挿入し実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3cb84ba3-b403-4a9d-b1a7-92aa947310ac |
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.50.2までの全てのバージョン |
| 脆弱性概要 | 管理者権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。また、本プラグインでは管理者がフォーム管理権限を下位権限ユーザーに付与できるため、設定によっては購読者などのユーザーによって悪用される可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4ada2055-3c4a-4b6f-8803-2eac8ede5ec7 |
プラグイン: Popup Builder
| 対象製品 | Popup Builder |
| 対象バージョン | 4.4.2までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、被害者のメールアドレスを把握している場合に、配信停止トークンを総当たりで推測することで、任意の購読者をメーリングリストから配信停止させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/62b29721-0580-4e1d-824d-9b8355890248 |
プラグイン: Breadcrumb NavXT
| 対象製品 | Breadcrumb NavXT |
| 対象バージョン | 7.5.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、'post_id' パラメータを操作することで、下書きまたは非公開投稿のパンくずリストを列挙・閲覧でき、本来公開されるべきではない投稿タイトルや階層構造を取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/62e25985-ac19-41a5-8027-eb053f4a6490 |
プラグイン: Easy Table of Contents
| 対象製品 | Easy Table of Contents |
| 対象バージョン | 2.0.78までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7205c238-4419-4292-8f9c-4ccf5b69dd60 |
プラグイン: WP All Export
| 対象製品 | WP All Export |
| 対象バージョン | 1.4.14までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、期待される MD5 ハッシュの接頭辞が数値形式(^0e\d+$ に一致)となる場合に「magic hash」値を用いて認証を回避し、個人情報(PII)や業務データ、データベース情報を含む機密なエクスポートファイルをダウンロードすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9a92c682-b8b3-4d23-bd84-97d7440ee525 |
プラグイン: Advanced Ads – Ad Manager & AdSense
| 対象製品 | Advanced Ads – Ad Manager & AdSense |
| 対象バージョン | 2.0.14までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、広告の配置設定を更新でき、表示される広告または広告グループを変更することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a1ad32fb-929e-4181-8789-df50a77a71ef |
プラグイン: Ultimate Member
| 対象製品 | Ultimate Member |
| 対象バージョン | 2.11.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザーにリンクをクリックさせるなどの操作を行わせることに成功した場合に、ページへ任意のウェブスクリプトを挿入し実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ba62b804-f101-4e29-8304-fb2b7dad333c |
プラグイン: Spam protection, Honeypot, Anti-Spam by CleanTalk
| 対象製品 | Spam protection, Honeypot, Anti-Spam by CleanTalk |
| 対象バージョン | 6.71までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、任意のプラグインをインストールおよび有効化することが可能となり、他に脆弱なプラグインがインストール・有効化されている場合にはリモートコード実行につながる可能性がある。なお、本脆弱性は API キーが無効なサイトにのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/cb603be6-4a12-49e1-b8cc-b2062eb97f16 |
プラグイン: Yoast Duplicate Post
| 対象製品 | Yoast Duplicate Post |
| 対象バージョン | 3.2.3までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。なお、本脆弱性はマルチサイト構成、または unfiltered_html が無効化されている環境にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e8e2519e-89cc-455f-921c-fe6b10f1dc26 |
総括
この期間内に報告された脆弱性15件のうち、7件は認証されていない攻撃者に影響を受ける脆弱性で、8件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今回報告された脆弱性には、権限チェックの欠落による設定の改ざんや権限昇格、任意のウェブスクリプトの実行(クロスサイトスクリプティング)、認証回避、内部サービスへの不正なリクエスト送信、機密情報を含むファイルの取得などが含まれています。magic hash を利用した認証回避や、任意のプラグインのインストール・有効化が可能となる脆弱性など、影響範囲が広がりやすいものも含まれています。
特に、BackWPupプラグインの 'save_site_option()' における権限チェックの欠落は、登録ユーザーのデフォルト権限を管理者に変更できる可能性があり、条件次第では管理者アカウントの取得につながるおそれがあります。原文では必要となる権限が明確に書かれていない (※原文は with level access and above) ことから、注意が必要です。
そのほか、比較的低い権限(購読者や寄稿者など)から広告設定や外部連携設定の変更、クーポンや注文情報の改ざん、Peppol/EDI エンドポイント情報の変更が可能となるものも報告されており、業務運用や決済処理に影響を及ぼす可能性があります。
深刻度が高くない脆弱性であっても、認証されていない攻撃者に影響を受ける脆弱性が多く報告されました。条件によっては情報漏えいやサイト改ざん、管理者権限の取得につながる可能性があります。使用しているプラグインに該当するものがある場合は、すみやかにアップデートを行い、最新版を維持するようにしてください。
