WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/04/02-2026/04/08 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 5件
プラグイン: Query Monitor
| 対象製品 | Query Monitor |
| 対象バージョン | 3.20.3までの全てのバージョン |
| 修正バージョン | 3.20.4 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 3.20.3までの全バージョンに、$_SERVER['REQUEST_URI'] パラメータにおける入力値のサニタイズおよび出力時のエスケープ処理が不十分であることによる反射型クロスサイトスクリプティング(Reflected Cross-Site Scripting)の脆弱性が存在します。 認証されていない攻撃者が、ユーザーにリンクのクリックなどの操作を行わせることで、ページへ任意のウェブスクリプトを挿入し、そのスクリプトを実行させることが可能となります。 |
| 対応方法 | 3.20.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-4267 |
| 公開日 | 2026-03-30 23:21:22 (2026-04-06 15:18:46更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0b75cad9-9f76-4839-8eb2-40d84662846d |
プラグイン: MW WP Form
| 対象製品 | MW WP Form |
| 対象バージョン | 5.1.0までの全てのバージョン |
| 修正バージョン | 5.1.1 |
| CVSS | 高 (8.1) |
| 脆弱性概要 | 5.1.0までの全バージョンに、'generate_user_filepath' 関数および 'move_temp_file_to_upload_dir' 関数におけるファイルパス検証が不十分であることによる任意のファイル移動の脆弱性が存在します。 認証されていない攻撃者が、サーバー上の任意のファイルを移動させることが可能となり、適切なファイル(例:wp-config.php)が対象となった場合にはリモートコード実行につながる可能性があります。なお、本脆弱性はフォームにファイルアップロードフィールドが追加されており、"Saving inquiry data in database" オプションが有効化されている場合にのみ悪用可能です。 |
| 対応方法 | 5.1.1以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-4347 |
| 公開日 | 2026-04-01 16:50:15 (2026-04-02 05:28:10更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/194ee4a0-87c3-42e5-9676-8dd355838b78 |
プラグイン: W3 Total Cache
| 対象製品 | W3 Total Cache |
| 対象バージョン | 2.9.3までの全てのバージョン |
| 修正バージョン | 2.9.4 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 2.9.3までの全バージョンに、情報漏えいの脆弱性が存在します。これは、リクエストのUser-Agentヘッダに "W3 Total Cache" を含めた場合に、プラグインの出力バッファリングおよび処理パイプラインが完全にバイパスされ、mfunc/mclude による動的フラグメントのHTMLコメント(W3TC_DYNAMIC_SECURITY セキュリティトークンを含む)がそのままページソースに出力されることによるものです。 認証されていない攻撃者が、動的フラグメントタグを含むページに対して細工したUser-Agentヘッダを送信することで、W3TC_DYNAMIC_SECURITY 定数の値を取得することが可能となります。さらに、このトークンを利用して有効な mfunc タグを細工することで、サーバー上で任意のPHPコードを実行させることが可能となり、リモートコード実行につながる可能性があります。 |
| 対応方法 | 2.9.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-5032 |
| 公開日 | 2026-04-01 19:07:11 (2026-04-03 18:25:51更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a65eb62d-847b-4f3a-848b-1290e3118c01 |
プラグイン: Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content
| 対象製品 | Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content |
| 対象バージョン | 4.16.11までの全てのバージョン |
| 修正バージョン | 4.16.12 |
| CVSS | 高 (7.1) |
| 脆弱性概要 | 4.16.11までの全バージョンに、会員プランの不正な支払い回避(unauthorized membership payment bypass)の脆弱性が存在します。これは、'process_checkout()' 関数における change_plan_sub_id パラメータの所有権検証が欠如していることによるものです。 購読者以上の権限を持つユーザーで認証済みの場合に、チェックアウト時に他ユーザーの有効なサブスクリプションを参照して按分計算(proration)を操作することで、ppress_process_checkout AJAX アクションを通じて本来支払いが必要なライフタイム会員プランを無償で取得することが可能となります。 |
| 対応方法 | 4.16.12以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-3445 |
| 公開日 | 2026-04-03 19:47:09 (2026-04-04 08:25:21更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ae1e198b-0c0d-47aa-8a56-ec4e790c8022 |
プラグイン: MW WP Form
| 対象製品 | MW WP Form |
| 対象バージョン | 5.1.1までの全てのバージョン |
| 修正バージョン | 5.1.2 |
| CVSS | 高 (8.1) |
| 脆弱性概要 | 5.1.1までの全バージョンに、任意のファイル移動および読み取り(Arbitrary File Move/Read)の脆弱性が存在します。これは、'generate_user_file_dirpath()' 関数に渡される $name パラメータ(アップロードフィールドのキー)の検証が不十分であり、WordPress の path_join() 関数が絶対パスをそのまま返してしまい、本来想定されたベースディレクトリが無視されることによるものです。 攻撃者は、'mwf_upload_files[]' POST パラメータを通じて制御可能なキーを注入し、これが _set_request_valiables() によりプラグインのデータモデルに取り込まれます。その後、フォーム処理中に 'regenerate_upload_file_keys()' がこれらのキーを処理し、攻撃者が指定したキーを $name 引数として 'generate_user_filepath()' に渡します。対象ファイル(例:wp-config.php)が実在する場合、このキーは検証を通過します。さらに '_get_attachments()' によって同じキーが再利用され、解決されたファイルパスが 'move_temp_file_to_upload_dir()' に渡され、rename() によりアップロードディレクトリへ移動されます。 認証されていない攻撃者が、サーバー上の任意のファイルを移動または読み取ることが可能となり、適切なファイル(例:wp-config.php)が対象となった場合にはリモートコード実行につながる可能性があります。なお、本脆弱性はフォームにファイルアップロードフィールドが追加されており、"Saving inquiry data in database" オプションが有効化されている場合にのみ悪用可能です。 |
| 対応方法 | 5.1.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-5436 |
| 公開日 | 2026-04-08 07:57:15 (2026-04-08 20:25:10更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/bc308993-7fc5-41db-a396-f05e95fe47b8 |
他の脆弱性: 13件
コア: WordPress
| 対象製品 | WordPress |
| 対象バージョン | 6.9から6.9.1までの全てのバージョン |
| 脆弱性概要 | 購読者の権限を持つユーザーで認証済みの場合に、他ユーザーが作成した投稿や非公開投稿、あらゆるステータスの投稿を含む任意の投稿に対してノートを作成することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a69782f0-aa61-4049-8339-7f27f4b6c36b |
プラグイン: Elementor Website Builder
| 対象製品 | Elementor Website Builder |
| 対象バージョン | 3.35.5までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/20232d70-72b2-47b7-ac7e-ad07892864ef |
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.52までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/27fc81b0-c03a-4de7-bc38-791401d1685b |
プラグイン: Ultimate Member
| 対象製品 | Ultimate Member |
| 対象バージョン | 2.11.1までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。なお、本脆弱性は Ultimate Member の設定で "HTML support for user description" が有効化されている場合にのみ悪用可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2a7f070a-b67c-4e65-a928-a6116266c54d |
プラグイン: Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content
| 対象製品 | Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content |
| 対象バージョン | 4.16.11までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、チェックアウト処理中に細工した請求先フィールドの値を送信することで、任意のショートコードを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3f8f083e-0de2-42a5-b289-101ec53aa44c |
プラグイン: ElementsKit Elementor Addons
| 対象製品 | ElementsKit Elementor Addons |
| 対象バージョン | 3.7.9までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4c33c640-0876-4b07-829e-35cae445b420 |
プラグイン: Smart Slider 3
| 対象製品 | Smart Slider 3 |
| 対象バージョン | 3.5.1.33までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、投稿編集ページ上で露出する nextend_nonce を取得することで、スライダーのメタデータを列挙し、画像ストレージレコードの作成、変更、削除を行うことが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/53a08b59-b7e0-419a-bfc3-528bcddb1ac2 |
プラグイン: Beaver Builder Page Builder
| 対象製品 | Beaver Builder Page Builder |
| 対象バージョン | 2.10.1.1までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5b15575f-0638-40ec-b152-20ba2225a725 |
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.8までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5bfc718a-408b-4389-b03b-bfe152ed7b28 |
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.7までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/62a9c9f4-ace4-4029-a720-5ea077e98be4 |
プラグイン: WPForms
| 対象製品 | WPForms |
| 対象バージョン | 1.9.8.7までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザー情報や設定情報などの機密データを取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b8b07ce8-d6ee-4ede-8394-4aae24c610b2 |
プラグイン: WooPayments: Integrated WooCommerce Payments
| 対象製品 | WooPayments: Integrated WooCommerce Payments |
| 対象バージョン | 10.5.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、プラグインの設定を更新することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/cec13225-baa3-4f26-b2d2-af6106888c74 |
プラグイン: Smart Slider 3
| 対象製品 | Smart Slider 3 |
| 対象バージョン | 3.5.1.33までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、サーバー上の任意のファイルの内容を読み取ることが可能となり、機密情報が取得される可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e2ce9caf-2ca2-401c-acc7-76be2fd72f36 |
総括
この期間内に報告された脆弱性18件のうち、7件は認証されていない攻撃者に影響を受ける脆弱性で、11件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
まず、深刻度は高くありませんがWordPressコアの脆弱性が報告されています。既に WordPress 6.9.4 以前に対する脆弱性も報告されていますので、速やかに 6.9.4 にアップデートするようにしてください。
深刻度の高い脆弱性としては、任意ファイル移動を起点としたリモートコード実行、キャッシュ機構の不備によるセキュリティトークン漏えいとそれを利用したコード実行、不正な課金回避などが挙げられ、いずれもサイトの完全な侵害や金銭的被害に直結するおそれがあります。
また、認証済ユーザーを前提とする脆弱性についても、購読者や寄稿者といった比較的低権限から悪用可能なケースが多く、クロスサイトスクリプティングを中心に、任意スクリプトの実行や他ユーザーの情報取得、投稿操作などにつながるリスクが存在します。これらは、管理者や他ユーザーの操作を通じて権限昇格や被害拡大に発展する可能性があります。
WordPressからは逸れた話題になりますが、「インターネットバグ奨励金プログラム」が受付を終了したりと、AIのここ最近の進歩により、ソフトウェアの脆弱性を検出する速度が向上しています。また、Anthropic社がClaude Mythos Previewの脆弱性を発見する能力が悪意ある第三者に渡るリスクから公開を中止するとったケースにも発展しています。今後も脆弱性の報告は増えていくものと考えられます。
既に報告されている脆弱性については、速やかなアップデートが不可欠です。該当プラグインおよびWordPress本体については速やかなアップデートを実施するとともに、不要な機能の無効化や入力値検証の強化、管理者操作の保護(CSRF対策)など、多層的な防御を講じることが重要です。
