WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/02/19-2026/02/25 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
プラグイン: BackWPup
| 対象製品 | BackWPup |
| 対象バージョン | 5.0.0から5.6.2までの全てのバージョン |
| 修正バージョン | 5.6.3 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 5.0.0から5.6.2までの全バージョンに、'save_site_option()' 関数において権限チェックが欠落していることによる、データの不正な変更および権限昇格につながる脆弱性が存在します。 level以上 (※原文のまま) の権限を持つユーザーで認証済みの場合に、WordPress サイトの任意のオプションを更新することが可能となる。これにより、新規登録ユーザーのデフォルト権限を管理者に変更し、ユーザー登録を有効化することで、攻撃者が管理者権限を取得することが可能となる。 |
| 対応方法 | 5.6.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-15041 |
| 公開日 | 2026-02-18 00:00:00 (2026-02-20 21:21:38更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2ab8f440-2910-41a3-8bbc-afb4cafd33b5 |
他の脆弱性: 10件
プラグイン: WP Activity Log
| 対象製品 | WP Activity Log |
| 対象バージョン | 5.5.4までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1144ed12-57bd-4f80-9df8-0aee1fcf6343 |
プラグイン: Responsive Lightbox & Gallery
| 対象製品 | Responsive Lightbox & Gallery |
| 対象バージョン | 2.7.1までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つ認証済みの攻撃者が、Webアプリケーションを起点として任意の宛先にWebリクエストを送信でき、内部サービスの情報を取得・改ざんすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/44276b28-9509-4f59-936c-fff2ae404076 |
プラグイン: Popup Builder
| 対象製品 | Popup Builder |
| 対象バージョン | 4.4.2までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、被害者のメールアドレスを知っている場合に、配信停止トークンを総当たりで推測することで任意の購読者をメーリングリストから解除することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/62b29721-0580-4e1d-824d-9b8355890248 |
プラグイン: Breadcrumb NavXT
| 対象製品 | Breadcrumb NavXT |
| 対象バージョン | 7.5.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、post_idパラメータを改ざんすることで下書きまたは非公開投稿のパンくずリストを列挙・閲覧でき、本来非公開であるべき投稿タイトルや階層情報が露出する可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/62e25985-ac19-41a5-8027-eb053f4a6490 |
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.15.16までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つ認証済みの攻撃者が、REST APIを通じてイベント、主催者および会場情報を更新または削除することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/67351a37-a457-48d6-b40a-95a7e3a0d746 |
プラグイン: Easy Table of Contents
| 対象製品 | Easy Table of Contents |
| 対象バージョン | 2.0.78までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つ認証済みの攻撃者が、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7205c238-4419-4292-8f9c-4ccf5b69dd60 |
プラグイン: ElementsKit Elementor Addons
| 対象製品 | ElementsKit Elementor Addons |
| 対象バージョン | 3.7.9までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/85025fb9-6e19-4c0f-bf16-4b890ba5f7f5 |
プラグイン: Advanced Ads – Ad Manager & AdSense
| 対象製品 | Advanced Ads – Ad Manager & AdSense |
| 対象バージョン | 2.0.14までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つ認証済みの攻撃者が広告配置を更新でき、表示される広告または広告グループを変更することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a1ad32fb-929e-4181-8789-df50a77a71ef |
プラグイン: Ally
| 対象製品 | Ally |
| 対象バージョン | 4.0.2までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/bae2bcb6-9d63-4d0b-a1b6-541d2888d110 |
プラグイン: Post Duplicator
| 対象製品 | Post Duplicator |
| 対象バージョン | 3.0.8までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つ認証済みの攻撃者が、'/wp-json/post-duplicator/v1/duplicate-post' REST APIエンドポイントの'customMetaData' JSON配列パラメータを通じて、複製投稿に'_wp_page_template'や'_wp_attached_file'などの保護された投稿メタキーを任意に挿入することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e5c86f72-934c-4f3b-ab2a-65df1490ca8a |
総括
この期間内に報告された脆弱性11件のうち、4件は認証されていない攻撃者に影響を受ける脆弱性で、7件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
深刻度が高い脆弱性として、BackWPupにおいて新規登録ユーザーのデフォルト権限を管理者に変更するなどして、管理者権限を取得される可能性がある脆弱性が報告されています。この内容は先週既に報告されていましたが、脆弱性を受ける範囲が5.0.0~5.6.2に拡大されました。修正バージョン5.6.3以降へのアップデートが推奨されます。
そのほかの脆弱性としては、寄稿者以上または投稿者以上の権限を持つ認証済みユーザーによる任意のウェブスクリプトの挿入(XSS)、REST API経由でのイベントや主催者・会場情報の更新・削除、任意の宛先へのWebリクエスト送信による内部サービス情報の取得・改ざん、広告表示内容の変更、保護された投稿メタキーの不正挿入などが確認されています。また、認証を必要としない脆弱性も複数報告されており、配信停止トークンの総当たりによる購読者の解除、post_idパラメータ改ざんによる下書き・非公開投稿情報の露出、権限のない操作の実行などが可能となる問題が含まれています。
全体として、比較的低い権限または未認証の状態から悪用可能な脆弱性が一定数存在しており、情報漏えいや権限昇格、不正な設定変更などにつながるおそれがあります。該当するプラグイン・テーマを利用している場合は、すみやかにアップデートを行い、最新版を維持するようにしてください。
