WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/04/23-2026/04/29 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
プラグイン: ExactMetrics
| 対象製品 | ExactMetrics |
| 対象バージョン | 9.1.2までの全てのバージョン |
| 修正バージョン | 9.1.3 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 9.1.2までの全バージョンに、認可不備による任意のプラグインインストールおよび有効化の脆弱性が存在します。これは、レポートページにおいて 'exactmetrics_view_dashboard' 権限を持つユーザーに対して 'onboarding_key' transient が公開されていることによるものです。 このキーは '/wp-json/exactmetrics/v1/onboarding/connect-url' REST エンドポイントの唯一の認証手段であり、ここから取得できるワンタイムハッシュ(OTH)トークンが 'exactmetrics_connect_process' AJAX エンドポイントにおける唯一の認証情報として使用されます。しかし、このエンドポイントには権限チェックや nonce 検証が存在せず、file パラメータを通じて任意のプラグインZIPのURLを受け付けます。 レポート閲覧権限を付与された編集者以上の権限を持つユーザーで認証済みの場合に、攻撃者が用意したURLから任意のプラグインをインストールおよび有効化することが可能となり、リモートコード実行につながる可能性があります。 |
| 対応方法 | 9.1.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-5464 |
| 公開日 | 2026-04-22 19:44:42 (2026-04-23 08:28:26更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/09127277-9e71-484d-b674-52af693c995b |
他の脆弱性: 3件
プラグイン: HubSpot All-In-One Marketing
| 対象製品 | HubSpot All-In-One Marketing |
| 対象バージョン | 11.3.32までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、インストールされているすべてのプラグインとそのバージョンの一覧を取得することが可能となり、偵察やさらなる攻撃に悪用される可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2a8c62e6-f459-433a-b0c4-c79285ea7fe9 |
プラグイン: ExactMetrics
| 対象製品 | ExactMetrics |
| 対象バージョン | 9.1.2までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、有効なGoogle Adsアクセストークンを取得し、Google Ads連携設定をリセットすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6a4359e4-5843-4d2c-b288-5c35f819241a |
プラグイン: SiteGuard WP Plugin
| 対象製品 | SiteGuard WP Plugin |
| 対象バージョン | 1.7.9までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8f094317-3088-4660-beae-4cf30df8528b |
総括
この期間内に報告された脆弱性4件のうち、1件は認証されていない攻撃者に影響を受ける脆弱性で、3件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今回報告された脆弱性の中で特に注意が必要なのは、ExactMetrics における任意のプラグインインストールおよび有効化の脆弱性です。レポート閲覧権限を付与された編集者以上のユーザーが、攻撃者の用意したURLから任意のプラグインをインストール・有効化できる可能性があり、リモートコード実行につながるおそれがあります。サイト全体の侵害に直結し得るため、最優先で修正バージョンへのアップデートが必要です。
そのほか、同じく ExactMetrics では購読者以上の権限からGoogle Adsアクセストークンを取得できる問題が確認されています。また、HubSpot All-In-One Marketing ではインストール済みプラグインとバージョン情報の取得が可能となり、攻撃者による偵察に悪用される可能性があります。SiteGuard WP Plugin では、認証されていない攻撃者による権限のない操作の実行が報告されています。
全体として件数は少ないものの、リモートコード実行につながる深刻な脆弱性や、外部連携トークンの取得、攻撃準備に使われ得る情報露出が含まれています。該当プラグインを利用している場合は、速やかなアップデートに加え、不要な権限付与や外部連携設定の見直しを行うことが重要です。
