WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/03/12-2026/03/18 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 4件
プラグイン: Post SMTP
| 対象製品 | Post SMTP |
| 対象バージョン | 3.8.0までの全てのバージョン |
| 修正バージョン | 3.9.0 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 3.8.0までの全バージョンに、event_type パラメータにおける入力値のサニタイズおよび出力時のエスケープ処理が不十分であることによる保存型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。 認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となります。 なお、本脆弱性は Post SMTP Pro プラグインがインストールされており、その Reporting and Tracking 拡張機能が有効化されている場合にのみ悪用可能です。 |
| 対応方法 | 3.9.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-3090 |
| 公開日 | 2026-03-17 00:00:00 (2026-03-18 15:28:32更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3f8cbbbb-2089-4966-8fd3-da4f76fb2517 |
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.15.17までの全てのバージョン |
| 修正バージョン | 6.15.17.1 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 6.15.17までの全バージョンに、ajax_create_import 関数におけるパストラバーサルの脆弱性が存在します。 投稿者以上の権限を持つユーザーで認証済みの場合に、サーバー上の任意のファイルの内容を読み取ることが可能となり、機密情報が取得される可能性があります。 |
| 対応方法 | 6.15.17.1以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-3585 |
| 公開日 | 2026-03-09 14:40:15 (2026-03-13 20:54:51更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/92e404ab-fe2b-45b3-b8ff-672f7888b747 |
プラグイン: Checkout Field Editor (Checkout Manager) for WooCommerce
| 対象製品 | Checkout Field Editor (Checkout Manager) for WooCommerce |
| 対象バージョン | 2.1.7までの全てのバージョン |
| 修正バージョン | 2.1.8 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 2.1.7までの全バージョンに、WooCommerce Block Checkout Store API を通じて送信されるカスタムの radio および checkboxgroup フィールド値に起因する保存型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。これは、class-thwcfd-block-order-data.php の prepare_single_field_data() メソッドにおいて、esc_html() によりエスケープされた値を radio および checkboxgroup フィールドタイプの場合に html_entity_decode() によって再度デコードしてしまうことに加え、get_allowed_html() における wp_kses() の許可リストが <select> 要素および onchange イベント属性を許可していることによるものです。 認証されていない攻撃者が、Store API のチェックアウトエンドポイントを通じて任意のウェブスクリプトを挿入することが可能となり、管理者が注文詳細ページを閲覧した際に当該スクリプトが実行される可能性があります。 |
| 対応方法 | 2.1.8以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-3231 |
| 公開日 | 2026-03-10 21:13:56 (2026-03-13 20:55:09更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/df406e59-94d9-4704-82a3-02c2c1773c82 |
プラグイン: Formidable Forms
| 対象製品 | Formidable Forms |
| 対象バージョン | 6.28までの全てのバージョン |
| 修正バージョン | 6.29 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 6.28までの全バージョンに、支払い整合性の不備によるバイパスの脆弱性が存在します。これは、Stripe Link のリターンハンドラ(handle_one_time_stripe_link_return_url)が、支払い金額の検証を行わずに PaymentIntent のステータスのみに基づいて支払い完了と判定していること、および verify_intent() 関数がクライアントシークレットの所有確認のみを行い、特定のフォームや処理に紐付けて検証していないことによるものです。 認証されていない攻撃者が、低額の支払いで使用された PaymentIntent を再利用することで、高額な支払いを完了済みとして扱わせることが可能となり、商品やサービスの支払いを不正に回避される可能性があります。 |
| 対応方法 | 6.29以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-2890 |
| 公開日 | 2026-03-12 19:21:57 (2026-03-13 07:23:48更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ebb4bc5a-9469-4733-acf3-d2dda5edb7af |
他の脆弱性: 12件
プラグイン: Yoast Duplicate Post
| 対象製品 | Yoast Duplicate Post |
| 対象バージョン | 4.5までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、本来アクセス権のない非公開投稿、下書き投稿、ゴミ箱内の投稿を含む任意の投稿を複製することが可能となる。さらに、投稿者以上の権限を持つユーザーで認証済みの場合に、Rewrite & Republish 機能を用いて公開済みの任意の投稿を自身の内容で上書きすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/05f175e6-08a9-4199-948c-5bd8b3caaa39 |
プラグイン: Admin Menu Editor
| 対象製品 | Admin Menu Editor |
| 対象バージョン | 1.14.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、サイト管理者にリンクのクリックなどの操作を行わせることで、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/13c969f3-55d7-4a05-aec8-460bb6faf9da |
プラグイン: Post SMTP
| 対象製品 | Post SMTP |
| 対象バージョン | 3.8.0までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、細工されたURLを用いてサイトのOffice 365 OAuthメール設定(アクセストークン、リフレッシュトークン、ユーザーのメールアドレス)を上書きすることが可能となる。これらの設定はプラグインのPro版で利用可能なMicrosoft365 SMTPのセットアップウィザードで使用されるものであり、攻撃者が制御するAzureアプリを正規のものと誤認させ、管理者がPro版へアップグレード後の設定時に攻撃者のアカウントへ接続してしまう可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/323436b5-fbfe-4923-8b08-93c1fcabc016 |
プラグイン: Website Builder by SeedProd — Theme Builder, Landing Page Builder, Coming Soon Page, Maintenance Mode
| 対象製品 | Website Builder by SeedProd — Theme Builder, Landing Page Builder, Coming Soon Page, Maintenance Mode |
| 対象バージョン | 6.19.8までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/32ce92b9-8c9c-4a7e-9580-00a564500e30 |
プラグイン: Crowdsignal Forms
| 対象製品 | Crowdsignal Forms |
| 対象バージョン | 1.7.2までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/53d12736-56d3-454f-9593-74f758d0605d |
プラグイン: Really Simple Security
| 対象製品 | Really Simple Security |
| 対象バージョン | 9.5.7までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/68504f49-0b18-4010-97b0-7e7391408d36 |
プラグイン: Photo Gallery by 10Web
| 対象製品 | Photo Gallery by 10Web |
| 対象バージョン | 1.8.38までの全てのバージョン |
| 脆弱性概要 | 編集者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。なお、本脆弱性はマルチサイト環境および unfiltered_html が無効化されている環境にのみ影響する。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b7f373a8-30e6-4150-a890-5ebb702d97ee |
プラグイン: Formidable Forms
| 対象製品 | Formidable Forms |
| 対象バージョン | 6.28までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、フィールドショートコードによる動的価格設定を使用するフォームにおいて、支払い完了前にPaymentIntentの金額を改ざんでき、商品やサービスの支払い金額を不正に減額することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b8be3b6e-a035-4e6f-ba2b-ce9e59ebf2e0 |
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.49までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、メールアドレス、表示名、登録日などを含む任意のユーザーの機密情報を取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d3efaa0d-8af6-4cdf-9225-8bbcfdbb73d3 |
プラグイン: WP Go Maps (formerly WP Google Maps)
| 対象製品 | WP Go Maps (formerly WP Google Maps) |
| 対象バージョン | 10.0.05までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d5599101-a7bd-4aa7-91da-f11694bdc000 |
プラグイン: WooCommerce
| 対象製品 | WooCommerce |
| 対象バージョン | 10.5.3までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、サイト管理者にリンクのクリックなどの操作を行わせることで、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/df7eca9b-e353-49e7-8706-89c1787637e9 |
プラグイン: Page Builder Gutenberg Blocks
| 対象製品 | Page Builder Gutenberg Blocks |
| 対象バージョン | 3.1.16までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f8310fae-813c-4325-9ae6-f0ea470e0168 |
総括
この期間内に報告された脆弱性16件のうち、7件は認証されていない攻撃者に影響を受ける脆弱性で、9件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
深刻度が高い脆弱性としては、保存型クロスサイトスクリプティング(XSS)、パストラバーサル、支払い整合性の不備によるバイパスなどが確認されています。特に、未認証の攻撃者によるスクリプト実行や支払い回避、認証済みユーザーによるサーバー上の任意ファイルの読み取りなど、機密情報の漏えいや不正なサービス利用につながるおそれのある問題が含まれています。また、一部の脆弱性は特定の拡張機能や設定条件下でのみ成立するものの、該当環境では実際の被害につながるリスクがあります。
そのほかの脆弱性としては、寄稿者や投稿者など比較的低い権限のユーザーによる任意の投稿の複製・改ざん、購読者権限からの設定改ざんや機密情報の取得、ならびに複数のプラグインにおけるXSSの問題が確認されています。さらに、未認証の攻撃者によるCSRFを悪用した不正操作や、支払い金額の改ざんなど、ユーザーの操作を誘導することで成立する攻撃も含まれています。
全体として、未認証または低権限から悪用可能な脆弱性が多く報告されています。該当するプラグインを利用している場合は、速やかに修正バージョンへアップデートするとともに、不要なプラグインの無効化、権限設定の見直しなどの対策を実施することが重要です。
