WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/02/26-2026/03/04 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 3件
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.6までの全てのバージョン |
| 修正バージョン | 3.9.7 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 3.9.6までの全バージョンに、ユーザーが指定する 'coupon_code' パラメータのエスケープ処理が不十分であり、既存のSQLクエリに対する適切なプリペアド処理が行われていないことによるSQLインジェクションの脆弱性が存在します。 認証されていない攻撃者が、既存のクエリに追加のSQLクエリを挿入することで、データベースから機密情報を取得することが可能となります。なお、本脆弱性はバージョン3.9.4および3.9.6で部分的に修正されています。 |
| 対応方法 | 3.9.7以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-13673 |
| 公開日 | 2026-02-27 18:54:35 (2026-02-28 07:25:36更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/007df869-dacb-4b0a-9c98-50586934cdab |
プラグイン: WP Mail Logging
| 対象製品 | WP Mail Logging |
| 対象バージョン | 1.15.0までの全てのバージョン |
| 修正バージョン | 1.16 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 1.15.0までの全バージョンに、メールログのメッセージフィールドから取得した信頼できない入力をデシリアライズすることによるPHPオブジェクトインジェクションの脆弱性が存在します。これは、BaseModel クラスのコンストラクタが、データベースから取得したすべてのプロパティに対して検証を行わずに maybe_unserialize() を呼び出していることが原因です。 認証されていない攻撃者が、メール送信を行う公開フォーム(例: Contact Form 7 など)を通じて二重にシリアライズされたペイロードを送信することで、PHPオブジェクトを注入することが可能となる。送信されたメールがログに記録され、そのログを管理者が閲覧した際に、悪意のあるペイロードが任意のPHPオブジェクトとしてデシリアライズされます。 なお、脆弱なソフトウェア自体には既知のPOPチェーンは存在しないため、他のプラグインやテーマにPOPチェーンが含まれていない場合には影響は限定的です。しかし、対象システムにPOPチェーンを含むプラグインやテーマがインストールされている場合には、任意のファイルの削除、機密情報の取得、コード実行などが可能となる可能性があります。 |
| 対応方法 | 1.16以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-2471 |
| 公開日 | 2026-02-27 17:58:35 (2026-02-28 06:27:45更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/10e4c52d-c82f-4393-9a56-5714b3a108d1 |
プラグイン: Page Builder by SiteOrigin
| 対象製品 | Page Builder by SiteOrigin |
| 対象バージョン | 2.33.5までの全てのバージョン |
| 修正バージョン | 2.34.0 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 2.33.5までの全バージョンに、locate_template() 関数を介したローカルファイルインクルードの脆弱性が存在します。 寄稿者以上の権限を持つユーザーで認証済みの場合に、サーバー上の任意のファイルを読み込み実行することが可能となり、それらのファイルに含まれる任意のPHPコードを実行できる可能性があります。これにより、アクセス制御の回避や機密情報の取得が可能となるほか、画像などの「安全」と見なされるファイル形式をアップロードして読み込ませることができる環境では、コード実行につながる可能性があります。 |
| 対応方法 | 2.34.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-2448 |
| 公開日 | 2026-03-02 13:14:54 (2026-03-03 01:21:50更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/deeeb78d-1757-44ec-968b-968d919b84f1 |
他の脆弱性: 6件
プラグイン: Shortcoder — Create Shortcodes for Anything
| 対象製品 | Shortcoder — Create Shortcodes for Anything |
| 対象バージョン | 6.5.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/098177e8-2d81-4a9f-bcf4-5f649c9c47ca |
プラグイン: Enable Media Replace
| 対象製品 | Enable Media Replace |
| 対象バージョン | 4.1.7までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、削除された背景画像の添付ファイルを用いて任意の添付ファイルを置き換えることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2c5f2dc8-67f7-4dbf-8631-f434522f1b53 |
プラグイン: Website Builder by SeedProd — Theme Builder, Landing Page Builder, Coming Soon Page, Maintenance Mode
| 対象製品 | Website Builder by SeedProd — Theme Builder, Landing Page Builder, Coming Soon Page, Maintenance Mode |
| 対象バージョン | 6.19.8までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/32ce92b9-8c9c-4a7e-9580-00a564500e30 |
プラグイン: Photo Gallery by 10Web
| 対象製品 | Photo Gallery by 10Web |
| 対象バージョン | 1.8.38までの全てのバージョン |
| 脆弱性概要 | 編集者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。なお、本脆弱性はマルチサイト環境および unfiltered_html が無効化されている環境にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b7f373a8-30e6-4150-a890-5ebb702d97ee |
テーマ: Blocksy
| 対象製品 | Blocksy |
| 対象バージョン | 2.1.30までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ce7ee2c7-0c7b-4ce3-89d2-5503dff6e59c |
プラグイン: Page Builder Gutenberg Blocks
| 対象製品 | Page Builder Gutenberg Blocks |
| 対象バージョン | 3.1.16までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f8310fae-813c-4325-9ae6-f0ea470e0168 |
総括
この期間内に報告された脆弱性9件のうち、3件は認証されていない攻撃者に影響を受ける脆弱性で、6件は少なくとも投稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
深刻度が高い脆弱性としては、SQLインジェクション、PHPオブジェクトインジェクション、ローカルファイルインクルード(LFI)など、機密情報の取得や任意コード実行につながる可能性のある問題が確認されています。特にPHPオブジェクトインジェクションは、外部から与えられたシリアライズデータを不適切にデシリアライズすることで、既存のクラスの挙動を悪用して任意の処理を実行させる可能性がある脆弱性です。詳細については、過去の記事でも解説しています。
そのほかの脆弱性としては、寄稿者以上または編集者以上の権限を持つ認証済みユーザーによる任意のウェブスクリプト挿入(XSS)が複数のプラグインおよびテーマで確認されているほか、投稿者以上の権限で添付ファイルを不正に置き換えることが可能となる問題や、認証されていない攻撃者による権限のない操作の実行なども報告されています。
全体として、未認証または比較的低い権限から悪用可能な脆弱性が含まれており、情報漏えいやサイト改ざん、権限昇格などのリスクにつながる可能性があります。該当するプラグインやテーマを利用している場合は、すみやかにアップデートを行い、最新版を維持するようにしてください。
