WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/03/05-2026/03/11 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 9件
プラグイン: Ally
| 対象製品 | Ally |
| 対象バージョン | 4.0.3までの全てのバージョン |
| 修正バージョン | 4.1.0 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 4.0.3までの全バージョンに、URLパスを介したSQLインジェクションの脆弱性が存在します。これは、get_global_remediations() メソッドにおいてユーザーが指定するURLパラメータのエスケープ処理が不十分であり、SQLのJOIN句に対して適切なサニタイズが行われないまま直接連結されていることによるものです。なお、URLの安全性を確保するために esc_url_raw() が適用されていますが、SQLのメタ文字(シングルクォートや括弧など)を防ぐことはできません。 認証されていない攻撃者が、既存のクエリに追加のSQLクエリを挿入することで、タイムベースのブラインドSQLインジェクションを用いてデータベースから機密情報を取得することが可能となります。なお、本脆弱性はRemediationモジュールが有効化されている場合に影響し、このモジュールはプラグインがElementorアカウントに接続されている場合に有効となります。 |
| 対応方法 | 4.1.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-2413 |
| 公開日 | 2026-03-10 16:11:03 (2026-03-11 04:25:48更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/00e070b7-bdf6-4a80-a3ee-628243f1cc25 |
プラグイン: Meta Box
| 対象製品 | Meta Box |
| 対象バージョン | 5.11.1までの全てのバージョン |
| 修正バージョン | 5.11.2 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 5.11.1までの全バージョンに、ajax_delete_file 関数におけるファイルパスの検証が不十分であることによる任意ファイル削除の脆弱性が存在します。 寄稿者以上の権限を持つユーザーで認証済みの場合に、サーバー上の任意のファイルを削除することが可能となり、wp-config.php などの重要なファイルが削除された場合にはリモートコード実行につながる可能性があります。 |
| 対応方法 | 5.11.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-14675 |
| 公開日 | 2026-03-06 19:09:12 (2026-03-07 07:22:03更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/036467de-95bb-4bfd-9522-df8dc17f3102 |
プラグイン: ExactMetrics
| 対象製品 | ExactMetrics |
| 対象バージョン | 7.1.0から9.0.2までの全てのバージョン |
| 修正バージョン | 9.0.3 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 7.1.0から9.0.2までのバージョンに、不適切な権限管理による脆弱性が存在します。これは、update_settings() 関数が許可された設定項目のホワイトリストを用いず、任意のプラグイン設定名を受け付けてしまうことによるものです。 exactmetrics_save_settings 権限を持つユーザーで認証済みの場合に、save_settings オプションを含む任意のプラグイン設定を変更することが可能となります。これにより、本来は管理者が信頼できるユーザーに設定変更権限を委任することを想定しているにもかかわらず、そのユーザーがさらに他のユーザーへ権限を付与できてしまいます。例えば、save_settings に subscriber を追加することで、すべての購読者にプラグインの管理権限を付与することが可能となります。 |
| 対応方法 | 9.0.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-1993 |
| 公開日 | 2026-03-10 21:02:36 (2026-03-11 09:25:45更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1c1ce474-ecce-4d21-b174-cb54a2441b2b |
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 3.3.2までの全てのバージョン |
| 修正バージョン | 3.3.3 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 3.3.2までの全バージョンに、ファイルタイプの検証が欠落していることによる任意ファイルアップロードの脆弱性が存在します。 編集者以上の権限を持つユーザーで認証済みの場合に、対象サイトのサーバー上へ任意のファイルをアップロードすることが可能となり、リモートコード実行につながる可能性があります。 |
| 対応方法 | 3.3.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-23802 |
| 公開日 | 2026-02-25 00:00:00 (2026-03-05 17:55:37更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/615beb4d-c2df-4e1a-8e6b-a393c0fe4834 |
プラグイン: Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content
| 対象製品 | Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content |
| 対象バージョン | 4.16.11までの全てのバージョン |
| 修正バージョン | 4.16.12 |
| CVSS | 高 (8.1) |
| 脆弱性概要 | 4.16.11までの全バージョンに、不適切な直接オブジェクト参照(Insecure Direct Object Reference)の脆弱性が存在します。これは、process_checkout() 関数において change_plan_sub_id パラメータに対する所有者確認が行われていないことによるものです。ppress_process_checkout のAJAXハンドラは、プランアップグレードを目的としてユーザーが指定するサブスクリプションIDを受け取り、そのレコードを読み込んでキャンセルまたは期限切れにしますが、当該サブスクリプションがリクエストを送信したユーザーに属しているかを検証していません。 購読者以上の権限を持つユーザーで認証済みの場合に、チェックアウト処理時の change_plan_sub_id パラメータを操作することで、他のユーザーの有効なサブスクリプションをキャンセルまたは期限切れにすることが可能となり、被害者は有料機能へのアクセスを即座に失う可能性があります。 |
| 対応方法 | 4.16.12以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-3453 |
| 公開日 | 2026-03-10 14:08:52 (2026-03-11 02:22:46更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/74e4808f-bd6f-4e62-91cb-31c86a427498 |
プラグイン: ExactMetrics
| 対象製品 | ExactMetrics |
| 対象バージョン | 8.0.0から9.0.2までの全てのバージョン |
| 修正バージョン | 9.0.3 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 8.6.0から9.0.2までのバージョンに、不適切な直接オブジェクト参照(Insecure Direct Object Reference)の脆弱性が存在します。これは、ExactMetrics_Onboarding クラスの store_settings() メソッドにおいて、権限確認に現在のユーザーIDではなく、ユーザーが指定する triggered_by パラメータの値を使用していることによるものです。 exactmetrics_save_settings 権限を持つユーザーで認証済みの場合に、triggered_by パラメータに管理者のユーザーIDを指定することで install_plugins 権限の確認を回避し、任意のプラグインをインストールすることが可能となります。これにより、リモートコード実行につながる可能性があります。なお、本脆弱性は、管理者が他のユーザーにレポート閲覧権限を付与しているサイトにのみ影響し、その権限を持つユーザーによってのみ悪用される可能性があります。 ※前述のExactMetricsの脆弱性とは異なる脆弱性です。 |
| 対応方法 | 9.0.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-1992 |
| 公開日 | 2026-03-10 21:00:15 (2026-03-11 09:25:45更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/79b6b896-df66-4c3d-a4d4-d3dbeb630134 |
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.15.17までの全てのバージョン |
| 修正バージョン | 6.15.17.1 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 6.15.17までの全バージョンに、ajax_create_import 関数におけるパストラバーサルの脆弱性が存在します。 投稿者以上の権限を持つユーザーで認証済みの場合に、サーバー上の任意のファイルの内容を読み取ることが可能となり、機密情報が取得される可能性があります。 |
| 対応方法 | 6.15.17.1以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-3585 |
| 公開日 | 2026-03-09 14:40:15 (2026-03-10 03:33:51更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/92e404ab-fe2b-45b3-b8ff-672f7888b747 |
プラグイン: Responsive Lightbox & Gallery
| 対象製品 | Responsive Lightbox & Gallery |
| 対象バージョン | 2.6.1までの全てのバージョン |
| 修正バージョン | 2.6.1 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 2.6.1までのバージョンに、入力値のサニタイズおよび出力時のエスケープ処理が不十分であることによるStored Cross-Site Scriptingの脆弱性が存在します。 認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となります。 |
| 対応方法 | 2.6.1以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-15386 |
| 公開日 | 2026-02-26 00:00:00 (2026-03-05 14:50:40更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ad48145b-24c5-49ac-a192-08c496e08e00 |
プラグイン: Checkout Field Editor (Checkout Manager) for WooCommerce
| 対象製品 | Checkout Field Editor (Checkout Manager) for WooCommerce |
| 対象バージョン | 2.1.7までの全てのバージョン |
| 修正バージョン | 2.1.8 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 2.1.7までの全バージョンに、WooCommerce Block Checkout Store API を通じて送信されるカスタムの radio および checkboxgroup フィールド値に起因するStored Cross-Site Scriptingの脆弱性が存在します。これは、class-thwcfd-block-order-data.php の prepare_single_field_data() メソッドにおいて、esc_html() によりエスケープされた値を radio および checkboxgroup フィールドタイプの場合に html_entity_decode() によって再度デコードしてしまうことに加え、get_allowed_html() における wp_kses() の許可リストが <select> 要素および onchange イベント属性を許可していることによるものです。 認証されていない攻撃者が、Store API のチェックアウトエンドポイントを通じて任意のウェブスクリプトを挿入することが可能となり、管理者が注文詳細ページを閲覧した際に当該スクリプトが実行される可能性があります。 |
| 対応方法 | 2.1.8以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-3231 |
| 公開日 | 2026-03-10 21:13:56 (2026-03-11 09:25:45更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/df406e59-94d9-4704-82a3-02c2c1773c82 |
他の脆弱性: 14件
コア: WordPress
| 対象製品 | WordPress |
| 対象バージョン | 6.8から6.8.3までの全てのバージョン 6.9から6.9.1までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、メディア添付がある非公開投稿、下書き投稿、および制限された投稿のタイトルを特定することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3e0b4faf-35cd-4f59-ae77-fb4f4819ad32 |
コア: WordPress
| 対象製品 | WordPress |
| 対象バージョン | 6.8から6.8.3までの全てのバージョン 6.9から6.9.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、WordPressサーバーを起点として任意の内部宛先へWebリクエストを送信でき、内部サービスの情報を取得・改ざんすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4d4301ca-081b-4fa3-ac4f-aa8f0b37d32c |
コア: WordPress
| 対象製品 | WordPress |
| 対象バージョン | 6.8から6.8.3までの全てのバージョン 6.9から6.9.1までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。なお、本脆弱性はマルチサイト環境および unfiltered_html が無効化されている環境にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/572fe891-5845-4a1c-ad3e-ddf5c54af5ba |
コア: WordPress
| 対象製品 | WordPress |
| 対象バージョン | 6.8から6.8.3までの全てのバージョン 6.9から6.9.1までの全てのバージョン |
| 脆弱性概要 | 攻撃者が tmpl-* に一致するIDを持つスクリプト以外の要素を挿入できた場合、テンプレートの内容が攻撃者が指定したHTMLで上書きされ、その内容が Underscore.js の _.template() によってコンパイルされることでJavaScriptが実行される可能性がある。なお、本脆弱性は管理画面のコンテキストにおいて既存のHTMLインジェクションの手段が存在する場合にのみ成立する条件付きの脆弱性である。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/72273368-042d-4ad4-9d1d-ca9c6db9cf3b |
コア: WordPress
| 対象製品 | WordPress |
| 対象バージョン | 6.9から6.9.1までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、他のユーザーが作成した投稿や非公開投稿を含む任意の投稿に対してメモを作成することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a69782f0-aa61-4049-8339-7f27f4b6c36b |
コア: WordPress
| 対象製品 | WordPress |
| 対象バージョン | 6.8から6.8.3までの全てのバージョン 6.9から6.9.1までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、サーバー上の任意のファイルを読み取ることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/aa7b7474-c170-42a2-be88-0fe410a2e71b |
テーマ: Astra
| 対象製品 | Astra |
| 対象バージョン | 4.12.3までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/acf2906b-1ee5-4272-bf6d-36a02023f658 |
プラグイン: Shortcoder — Create Shortcodes for Anything
| 対象製品 | Shortcoder — Create Shortcodes for Anything |
| 対象バージョン | 6.5.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/098177e8-2d81-4a9f-bcf4-5f649c9c47ca |
プラグイン: MC4WP: Mailchimp for WordPress
| 対象製品 | MC4WP: Mailchimp for WordPress |
| 対象バージョン | 4.11.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、HTMLソースに公開されているフォームIDを取得できる場合に、_mc4wp_action パラメータを利用して接続されたMailchimpオーディエンスから任意のメールアドレスを配信停止にすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/10262aa9-5656-4a2b-aeb5-060018798369 |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.5までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/24009534-3a57-4ed3-b841-72e87e2a6925 |
プラグイン: Dear Flipbook
| 対象製品 | Dear Flipbook |
| 対象バージョン | 2.4.20までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4d89a4ca-c867-43bf-aace-295de8533fcd |
プラグイン: SiteGuard WP Plugin
| 対象製品 | SiteGuard WP Plugin |
| 対象バージョン | 1.7.9までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8f094317-3088-4660-beae-4cf30df8528b |
プラグイン: WP All Import
| 対象製品 | WP All Import |
| 対象バージョン | 4.0.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入でき、ユーザーにリンクのクリックなどの操作を行わせることで当該スクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/afc85535-962d-479d-8580-9d02f7412930 |
プラグイン: W3 Total Cache
| 対象製品 | W3 Total Cache |
| 対象バージョン | 2.9.1までの全てのバージョン(W3 Total Cache) |
| 脆弱性概要 | 認証されていない攻撃者が、サーバー上で任意のコードを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f4ff4114-c1ed-47df-9e7c-f34f1a422ffe |
総括
この期間内に報告された脆弱性23件のうち、8件は認証されていない攻撃者に影響を受ける脆弱性で、14件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。なお、1件は管理画面上で既存のHTMLインジェクションが可能であることを前提とする条件付きの脆弱性でした。
まず WordPress 6.9.4 がリリースされています。今回報告されているWordPressコアの、未認証での内部向けリクエスト送信、投稿タイトル情報の露出、任意ファイルの読取、権限のないメモ作成、特定条件下でのスクリプト実行などといった複数の脆弱性への対応が含まれています。
WordPress 6.9.2 および、その不具合の修正をした WordPress 6.9.3 がリリースされましたが、すぐに続けて WordPress 6.9.4 がリリースされています。わずか2日の間に連続してリリースされたため、 6.9.2 あるいは 6.9.3 までのアップデートしかしていない場合は、速やかに 6.9.4 までアップデートするようにしてください。
深刻度が高い脆弱性としては、SQLインジェクション、任意ファイル削除、任意ファイルアップロード、不適切な権限管理、不適切な直接オブジェクト参照、パストラバーサル、保存型クロスサイトスクリプティングなどが確認されています。特に、認証されていない攻撃者によるデータベースからの機密情報取得や、管理者権限の委任設定を悪用した権限拡大、任意プラグインのインストールによるリモートコード実行、サーバー上の任意ファイルの削除・読取・アップロードなど、サイト全体の安全性に大きく影響する問題が含まれています。
また、プラグインやテーマにおいても、寄稿者・投稿者・購読者といった比較的低い権限から悪用可能なXSSや不正操作、配信停止の不正実行、さらには未認証での任意コード実行につながる問題も報告されています。
全体として、未認証または比較的低い権限から悪用可能な脆弱性が多く、情報漏えい、権限昇格、不正な設定変更、サービス妨害、サイト改ざん、さらにはリモートコード実行に至るおそれがあります。とくに深刻度が高い脆弱性やWordPressコアに関する問題は影響範囲が広いため、WordPressコアは言うまでもなく、該当するプラグイン、テーマを利用している場合は、修正バージョンへの速やかなアップデートと設定内容の見直しが重要です。
