WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/04/16-2026/04/22 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 5件
プラグイン: ExactMetrics
| 対象製品 | ExactMetrics |
| 対象バージョン | 9.1.2までの全てのバージョン |
| 修正バージョン | 9.1.3 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 9.1.2までの全バージョンに、認可不備による任意のプラグインインストールおよび有効化(unauthorized arbitrary plugin installation and activation)の脆弱性が存在します。 これは、レポートページにおいて 'exactmetrics_view_dashboard' 権限を持つユーザーに対して 'onboarding_key' transient が公開されていることに起因します。このキーは '/wp-json/exactmetrics/v1/onboarding/connect-url' REST エンドポイントの唯一の認証手段であり、ここから取得できるワンタイムハッシュ(OTH)トークンが、'exactmetrics_connect_process' AJAX エンドポイントにおける唯一の認証情報として使用されます。しかし、このエンドポイントには権限チェックや nonce 検証が存在せず、file パラメータを通じて任意のプラグインZIPのURLを受け付けます。 レポート閲覧権限を付与された編集者以上の権限を持つユーザーで認証済みの場合に、攻撃者が用意したURLから任意のプラグインをインストールおよび有効化することが可能となり、リモートコード実行につながる可能性があります。 |
| 対応方法 | 9.1.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-5464 |
| 公開日 | 2026-04-22 19:44:42 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/09127277-9e71-484d-b674-52af693c995b |
プラグイン: WP Statistics
| 対象製品 | WP Statistics |
| 対象バージョン | 14.16.4までの全てのバージョン |
| 修正バージョン | 14.16.5 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 14.16.4までの全バージョンに、'utm_source' パラメータを介した保存型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。これは、入力値のサニタイズおよび出力時のエスケープ処理が不十分であることによるものです。 当該プラグインのリファラ解析機能は、ワイルドカードのチャネルドメインに一致した場合、'utm_source' の値をそのまま source_name フィールドにコピーします。その後、チャート描画処理において、この値がエスケープされないまま innerHTML を用いて凡例マークアップに挿入されます。 認証されていない攻撃者が管理画面の Referrals Overview や Social Media 分析ページにおいて実行される任意のウェブスクリプトを挿入することが可能となり、管理者が当該ページにアクセスした際にスクリプトが実行される可能性があります。 |
| 対応方法 | 14.16.5以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-5231 |
| 公開日 | 2026-04-16 13:20:16 (2026-04-17 01:24:37更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9b350b48-05ba-4054-895f-36d7ad71459d |
プラグイン: Post Duplicator
| 対象製品 | Post Duplicator |
| 対象バージョン | 3.0.10までの全てのバージョン |
| 修正バージョン | 3.0.11 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 3.0.10までの全バージョンに、信頼できない入力のデシリアライズに起因するPHPオブジェクトインジェクションの脆弱性が存在します。 寄稿者以上の権限を持つユーザーで認証済みの場合に、任意のPHPオブジェクトを注入することが可能となります。なお、当該ソフトウェア自体には既知のPOPチェーンは存在しませんが、対象システムに他のプラグインやテーマを通じてPOPチェーンが存在する場合には、任意のファイル削除、機密情報の取得、コード実行などにつながる可能性があります。 |
| 対応方法 | 3.0.11以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-39474 |
| 公開日 | 2026-04-13 00:00:00 (2026-04-21 15:04:30更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a10dc207-eb41-407e-a85c-ae5ea4c5d972 |
プラグイン: ManageWP Worker
| 対象製品 | ManageWP Worker |
| 対象バージョン | 4.9.31までの全てのバージョン |
| 修正バージョン | 4.9.32 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 4.9.31までのバージョンに、入力値のサニタイズおよび出力時のエスケープ処理が不十分であることによる保存型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。 認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 対応方法 | 4.9.32以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-39463 |
| 公開日 | 2026-04-13 00:00:00 (2026-04-21 14:51:09更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/bff9e7d2-b9ad-403e-a361-3e95e2c7909f |
プラグイン: Meta Box
| 対象製品 | Meta Box |
| 対象バージョン | 5.11.1までの全てのバージョン |
| 修正バージョン | 5.11.2 |
| CVSS | 高 (8.1) |
| 脆弱性概要 | 5.11.1までの全バージョンに、ファイルパスの検証が不十分であることによる任意ファイル削除の脆弱性が存在します。 寄稿者以上の権限を持つユーザーで認証済みの場合に、サーバー上の任意のファイルを削除することが可能となり、適切なファイル(例:wp-config.php)が削除された場合にはリモートコード実行につながる可能性があります。 |
| 対応方法 | 5.11.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-39468 |
| 公開日 | 2026-04-13 00:00:00 (2026-04-21 15:55:05更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c303fffe-628b-4e88-9274-7dd242f2186e |
他の脆弱性: 7件
プラグイン: Fluent Forms
| 対象製品 | Fluent Forms |
| 対象バージョン | 6.1.21から6.1.21までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、対象となる保留中の送信データの支払いステータス(例:「failed」)を改ざんすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/154fc656-3a33-4783-a941-10bb848244b3 |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.8までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、追加のSQLクエリを挿入することが可能となり、データベースから機密情報を取得される可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6dd041ff-a0a3-4d1f-83e0-6ec2a978e9cf |
プラグイン: WP Statistics
| 対象製品 | WP Statistics |
| 対象バージョン | 14.16.4までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、ユーザーID、ユーザー名、メールアドレス、訪問者トラッキングデータなどの機密な分析データへアクセスし、プライバシー監査のコンプライアンス状況の取得・変更や、管理者通知の非表示化を行うことが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b1938ba4-ced7-455b-8772-a192d9cb0897 |
プラグイン: Page Builder Gutenberg Blocks
| 対象製品 | Page Builder Gutenberg Blocks |
| 対象バージョン | 3.1.16までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/bde0aef3-aa61-4ee7-9cbf-9f51cb5ac700 |
プラグイン: Ultimate Member
| 対象製品 | Ultimate Member |
| 対象バージョン | 2.11.3までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ec6a6736-ca28-44bb-976e-b22e901306b4 |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.8までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、任意のトピックからすべてのレッスンを切り離し、レッスンをトピック間で移動させ、コースコンテンツの menu_order を変更することが可能となり、サイト上のあらゆるコース構造を改ざんすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f32ae42d-dd1f-41d7-8ae4-ddec56d78ae6 |
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.4.9までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f6929fdc-a5b1-4c71-9291-3fafa9381cf2 |
総括
この期間内に報告された脆弱性12件のうち、4件は認証されていない攻撃者に影響を受ける脆弱性で、8件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
深刻な脆弱性として、任意のプラグインのインストールおよび有効化によるリモートコード実行、任意ファイル削除によるコード実行リスク、PHPオブジェクトインジェクション、保存型クロスサイトスクリプティング(XSS)などが確認されています。中でも、ExactMetrics では認可不備により編集者以上の権限で任意のプラグインを導入できる可能性があり、Meta Box では寄稿者以上の権限で重要ファイルを削除することでサイト侵害につながるおそれがあります。また、WP Statistics や ManageWP Worker では、認証されていない攻撃者による保存型XSSが成立し、管理者の操作を通じて被害が拡大する可能性があります。
総じて、未認証攻撃と重大な実行系脆弱性(コード実行・権限昇格)が組み合わさることで、侵入から完全掌握までのハードルが低い構成となっています。該当プラグインの迅速なアップデートを最優先とし、あわせて管理画面へのアクセス制御や不要機能の無効化など、実運用における防御強化が重要です。
