WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/03/19-2026/03/25 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 0件
なし
他の脆弱性: 9件
プラグイン: Admin Menu Editor
| 対象製品 | Admin Menu Editor |
| 対象バージョン | 1.14.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、サイト管理者にリンクのクリックなどの操作を行わせることで、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/13c969f3-55d7-4a05-aec8-460bb6faf9da |
プラグイン: Autoptimize
| 対象製品 | Autoptimize |
| 対象バージョン | 3.1.14までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、プラグインの設定で"Image optimization"または"Lazy-load images"が有効になっている場合に限り、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5f3f9891-710e-49e4-b388-aa6d99c01840 |
プラグイン: Really Simple Security
| 対象製品 | Really Simple Security |
| 対象バージョン | 9.5.7までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/68504f49-0b18-4010-97b0-7e7391408d36 |
プラグイン: ShortPixel Image Optimizer
| 対象製品 | ShortPixel Image Optimizer |
| 対象バージョン | 6.4.3までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、任意のウェブスクリプトを挿入することが可能となり、汚染された添付ファイルに対して ShortPixel AI のエディタポップアップ(背景除去や画像アップスケール)を管理者などの高権限ユーザーが開いた際に、そのスクリプトが実行される可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a156234f-2644-4d17-aaa5-4f088cf48f73 |
プラグイン: Elementor Website Builder
| 対象製品 | Elementor Website Builder |
| 対象バージョン | 3.35.7までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、elementor_ajax エンドポイントの get_template_data アクションに渡される template_id を操作することで、非公開または下書き状態の Elementor テンプレートの内容を読み取ることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a4420935-4952-4460-afc2-1c6df6965b3d |
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.49までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、メールアドレス、表示名、登録日などを含む任意のユーザーの機密情報を取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d3efaa0d-8af6-4cdf-9225-8bbcfdbb73d3 |
プラグイン: Autoptimize
| 対象製品 | Autoptimize |
| 対象バージョン | 3.1.14までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、src URL 内にスペースと src= を含むよう細工した画像タグを用いることで正規表現による処理が崩れ、属性値内のテキストが実行可能なHTML属性として解釈されることにより、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ddc5c4d7-09dc-45bf-a3c7-5a0757e3110a |
プラグイン: WooCommerce
| 対象製品 | WooCommerce |
| 対象バージョン | 10.5.3までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、サイト管理者にリンクのクリックなどの操作を行わせることで、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/df7eca9b-e353-49e7-8706-89c1787637e9 |
プラグイン: Yoast SEO
| 対象製品 | Yoast SEO |
| 対象バージョン | 27.1.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/fee1fef5-5716-49e0-a04e-d0dae527fcfc |
総括
この期間内に報告された脆弱性9件のうち、2件は認証されていない攻撃者に影響を受ける脆弱性で、7件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今回報告された脆弱性には、クロスサイトスクリプティング(XSS)、不正な操作の実行、機密情報の取得などが含まれています。特に、寄稿者や投稿者といった比較的低い権限から悪用可能なXSSの脆弱性が複数確認されており、管理者などの高権限ユーザーの操作をトリガーとしてスクリプトが実行されるケースも含まれています。また、購読者権限からユーザー情報を取得できる脆弱性や、未認証の攻撃者によるCSRFを悪用した不正操作も確認されています。
全体として、深刻度の高い脆弱性は含まれていないものの、低権限または未認証から悪用可能な脆弱性が多く、情報漏えいや権限逸脱につながるリスクが存在します。該当プラグインを利用している場合は、速やかにアップデートを実施するとともに、不要な機能の無効化や権限設定の見直しなど、基本的なセキュリティ対策を徹底することが重要です。
