WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/04/30-2026/05/06 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 7件
プラグイン: Slider, Gallery, and Carousel by MetaSlider
| 対象製品 | Slider, Gallery, and Carousel by MetaSlider |
| 対象バージョン | 3.106.0までの全てのバージョン |
| 修正バージョン | 3.107.0 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 3.106.0までの全バージョンに、リモートコード実行の脆弱性が存在します。 編集者以上の権限を持つユーザーで認証済みの場合に、サーバー上で任意のコードを実行することが可能となります。 |
| 対応方法 | 3.107.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-39465 |
| 公開日 | 2026-04-20 00:00:00 (2026-04-30 15:39:10更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0d012f97-9ccb-4ff6-a24a-df3c10bacc63 |
プラグイン: ShortPixel Image Optimizer
| 対象製品 | ShortPixel Image Optimizer |
| 対象バージョン | 6.4.3までの全てのバージョン |
| 修正バージョン | 6.4.4 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 6.4.3までの全バージョンに、信頼できない入力のデシリアライズに起因するPHPオブジェクトインジェクションの脆弱性が存在します。 投稿者以上の権限を持つユーザーで認証済みの場合に、任意のPHPオブジェクトを注入することが可能となります。なお、当該ソフトウェア自体には既知のPOPチェーンは存在しませんが、対象システムに他のプラグインやテーマを通じてPOPチェーンが存在する場合には、任意のファイル削除、機密情報の取得、コード実行などにつながる可能性があります。 |
| 対応方法 | 6.4.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-39471 |
| 公開日 | 2026-04-20 00:00:00 (2026-04-30 14:59:54更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1079b96d-0435-42f1-b5b2-d36e674c0c9c |
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.52.1までの全てのバージョン |
| 修正バージョン | 1.52.2 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 1.52.1までの全バージョンに、'upload-1[file][file_path]' パラメータを介したパストラバーサルの脆弱性が存在します。 認証されていない攻撃者が、サーバー上の任意のファイルの内容を読み取ることが可能となり、機密情報が取得される可能性があります。なお、本脆弱性の悪用には、ファイルアップロードフィールドを含む公開フォームが存在し、そのフォームのBehavior設定でSave and Continueが有効化されており、さらにSave and Continueのメール通知でアップロードファイルを添付する設定になっている必要があります。 |
| 対応方法 | 1.52.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-5192 |
| 公開日 | 2026-05-04 17:49:05 (2026-05-05 06:43:31更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/788422c4-e070-48aa-a85d-a5d5a25a6a1d |
プラグイン: Responsive Lightbox & Gallery
| 対象製品 | Responsive Lightbox & Gallery |
| 対象バージョン | 2.6.1までの全てのバージョン |
| 修正バージョン | 2.6.1 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 2.6.1までのバージョンに、入力値のサニタイズおよび出力時のエスケープ処理が不十分であることによる保存型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。 認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となります。 |
| 対応方法 | 2.6.1以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-15386 |
| 公開日 | 2026-02-03 00:00:00 (2026-05-04 14:57:01更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ad48145b-24c5-49ac-a192-08c496e08e00 |
プラグイン: Anti-Malware Security and Brute-Force Firewall
| 対象製品 | Anti-Malware Security and Brute-Force Firewall |
| 対象バージョン | 4.23.87までの全てのバージョン |
| 修正バージョン | 4.23.88 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 4.23.87までの全バージョンに、信頼できない入力のデシリアライズに起因するPHPオブジェクトインジェクションの脆弱性が存在します。 寄稿者以上の権限を持つユーザーで認証済みの場合に、任意のPHPオブジェクトを注入することが可能となります。なお、当該ソフトウェア自体には既知のPOPチェーンは存在しませんが、対象システムに他のプラグインやテーマを通じてPOPチェーンが存在する場合には、任意のファイル削除、機密情報の取得、コード実行などにつながる可能性があります。 |
| 対応方法 | 4.23.88以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-39478 |
| 公開日 | 2026-04-20 00:00:00 (2026-04-30 14:45:05更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c708698f-a38a-4213-a022-817b380e64df |
プラグイン: WP-Optimize
| 対象製品 | WP-Optimize |
| 対象バージョン | 4.5.2までの全てのバージョン |
| 修正バージョン | 4.5.3 |
| CVSS | 高 (8.1) |
| 脆弱性概要 | 4.5.2までの全バージョンに、'unscheduled_original_file_deletion' 関数におけるファイルパス検証が不十分であることによる任意ファイル削除の脆弱性が存在します。 投稿者以上の権限を持つユーザーで認証済みの場合に、サーバー上の任意のファイルを削除することが可能となり、適切なファイル(例:wp-config.php)が削除された場合にはリモートコード実行につながる可能性があります。これは、'original-file' がアンダースコアで始まらない公開メタキー(非保護メタキー)であり、投稿者が標準のメディア編集フォームまたはREST APIを通じて、自身の添付ファイル投稿に対して自由に作成・変更できるためです。 |
| 対応方法 | 4.5.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-7252 |
| 公開日 | 2026-05-06 15:34:39 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/cc815ef2-dd02-4faa-b202-dd1552f889db |
プラグイン: Admin and Site Enhancements (ASE)
| 対象製品 | Admin and Site Enhancements (ASE) |
| 対象バージョン | 7.6.2.1までの全てのバージョン |
| 修正バージョン | 7.6.3 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 7.6.2.1までの全バージョンに、権限昇格(Privilege Escalation)の脆弱性が存在します。 購読者以上の権限を持つユーザーで認証済みの場合に、管理者権限へ昇格することが可能となります。 |
| 対応方法 | 7.6.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-24648 |
| 公開日 | 2026-01-20 00:00:00 (2026-05-04 14:36:56更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e2ca42f3-776f-4ba4-a409-863799338c85 |
他の脆弱性: 24件
プラグイン: Fluent Forms
| 対象製品 | Fluent Forms |
| 対象バージョン | 6.2.1までの全てのバージョン |
| 脆弱性概要 | 管理者権限を持つユーザーで認証済みの場合に、管理者通知メールでファイルアップロードフィールドを添付するよう設定されたフォームを利用し、ファイルフィールドの値として '<upload_baseurl>/../../' 形式の細工したURLを指定することで、Webサーバーユーザーが読み取り可能な任意のファイルを取得することが可能となる。これには、データベース認証情報や認証用ソルトを含む 'wp-config.php' などの機密ファイルも含まれる。 解決されたファイルは wp_mail() を通じて送信される管理者通知メールに添付される。なお、このメール送信自体は認証されていないユーザーによって誘発可能ですが、送信先メールアドレスは攻撃者が制御することはできない。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0101113b-70c2-4db4-b6b1-b2412f6e1214 |
プラグイン: GenerateBlocks
| 対象製品 | GenerateBlocks |
| 対象バージョン | 2.2.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、'{{post_meta id:|key:<meta_key>}}' や '{{post_title id:|link:author_email}}' といった細工した動的タグのペイロードを用いることで、任意の投稿から投稿者のメールアドレスや保護されていない投稿メタ値などの機密情報を取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0297d524-e016-4f8d-920c-d58c62edb2a0 |
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.52.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、過去に成功した低額のStripe PaymentIntentを再利用することで、高額な有料フォームの支払いを完了済みとして送信することが可能となり、過少支払いや支払い回避が発生する可能性となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1afb94ab-b3ba-4598-8ff4-f9ffc6717371 |
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.14.2までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザーにリンクのクリックなどの操作を行わせることで、ページへ任意のウェブスクリプトを挿入し、そのスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/41c2edae-9788-47ad-bf0b-aa944893c4e2 |
プラグイン: Fluent Forms
| 対象製品 | Fluent Forms |
| 対象バージョン | 6.1.14までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5a85c367-99f5-4a46-94bc-ed6e6626514b |
プラグイン: PDF Invoices & Packing Slips for WooCommerce
| 対象製品 | PDF Invoices & Packing Slips for WooCommerce |
| 対象バージョン | 5.9.0までの全てのバージョン |
| 脆弱性概要 | ショップマネージャー以上の権限を持つユーザーで認証済みの場合に、任意のPHPオブジェクトを注入することが可能となる。なお、当該ソフトウェア自体には既知のPOPチェーンは存在しないが、対象システムに他のプラグインやテーマを通じてPOPチェーンが存在する場合には、任意のファイル削除、機密情報の取得、コード実行などにつながる可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/75f5f59e-b071-43aa-87a5-d7c31fb35dae |
プラグイン: ElementsKit Elementor Addons
| 対象製品 | ElementsKit Elementor Addons |
| 対象バージョン | 3.8.2までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、細工したURLへアクセスさせることで、任意の 'elementskit_widget' カスタム投稿タイプの Elementor コンテンツ('_elementor_data')を上書きし、ウィジェットのカスタムデザイン、テキスト、設定を空のテンプレートへ恒久的に置き換えることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7740fdfb-65b2-4d27-935f-b0e73487f0c4 |
プラグイン: Elementor Website Builder
| 対象製品 | Elementor Website Builder |
| 対象バージョン | 4.0.4までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/826a2003-c526-4760-8c21-10d5ae7bb384 |
プラグイン: YITH WooCommerce Compare
| 対象製品 | YITH WooCommerce Compare |
| 対象バージョン | 3.6.0までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、任意のPHPオブジェクトを注入することが可能となる。なお、当該ソフトウェア自体には既知のPOPチェーンは存在しないため、この脆弱性単体では、サイトにPOPチェーンを含む別のプラグインやテーマがインストールされていない限り影響はない。対象システムに追加のプラグインやテーマを通じてPOPチェーンが存在する場合には、その内容に応じて任意のファイル削除、機密情報の取得、コード実行などが可能となる場合がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/84467bda-aaf8-45df-b4cc-f7e08d0c3848 |
プラグイン: Website Builder by SeedProd — Theme Builder, Landing Page Builder, Coming Soon Page, Maintenance Mode
| 対象製品 | Website Builder by SeedProd — Theme Builder, Landing Page Builder, Coming Soon Page, Maintenance Mode |
| 対象バージョン | 6.19.8までの全てのバージョン |
| 脆弱性概要 | 編集者以上の権限を持つユーザーで認証済みの場合に、Webアプリケーションを起点として任意の宛先へWebリクエストを送信することが可能となり、内部サービスの情報の取得や改ざんに悪用される可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/87246b00-7a61-4ab4-90f1-2ac42f5b9f1d |
プラグイン: CartFlows
| 対象製品 | CartFlows |
| 対象バージョン | 2.1.19までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、任意のPHPオブジェクトを注入することが可能となる。なお、当該ソフトウェア自体には既知のPOPチェーンは存在しないが、対象システムに他のプラグインやテーマを通じてPOPチェーンが存在する場合には、任意のファイル削除、機密情報の取得、コード実行などにつながる可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/96a2e7cc-23ae-404a-9889-e7bf9f744ec5 |
プラグイン: Schedule Post Changes With PublishPress Future: Unpublish, Delete, Change Status, Trash, Change Categories
| 対象製品 | Schedule Post Changes With PublishPress Future: Unpublish, Delete, Change Status, Trash, Change Categories |
| 対象バージョン | 4.10.0までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。さらに、管理者がこの機能をより低い権限のユーザーにも利用可能に設定できるため、寄稿者によって悪用される可能性もある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9acf80aa-8354-4430-9836-18fa17854521 |
プラグイン: WP Ghost (Hide My WP Ghost)
| 対象製品 | WP Ghost (Hide My WP Ghost) |
| 対象バージョン | 7.0.00までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザーに何らかの操作を行わせることで、悪意のある可能性があるサイトへリダイレクトさせることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ca12d05f-23f4-44e4-b513-a0452a170130 |
プラグイン: Slider, Gallery, and Carousel by MetaSlider
| 対象製品 | Slider, Gallery, and Carousel by MetaSlider |
| 対象バージョン | 3.106.0までの全てのバージョン |
| 脆弱性概要 | 編集者以上の権限を持つユーザーで認証済みの場合に、任意のPHPオブジェクトを注入することが可能となる。なお、当該ソフトウェア自体には既知のPOPチェーンは存在しないが、対象システムに他のプラグインやテーマを通じてPOPチェーンが存在する場合には、任意のファイル削除、機密情報の取得、コード実行などにつながる可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ca195af0-9b51-4eca-b1ca-309b4b26ed4e |
プラグイン: Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content
| 対象製品 | Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content |
| 対象バージョン | 4.16.13までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d0bd67c9-4c5a-41f0-971f-19e6525092ca |
プラグイン: TablePress
| 対象製品 | TablePress |
| 対象バージョン | 3.0.6までの全てのバージョン(TreePress – Easy Family Trees & Ancestor Profiles) |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザーにリンクのクリックなどの操作を行わせることで、ページへ任意のウェブスクリプトを挿入し、そのスクリプトを実行させることが可能となる。 ※これはプラグインが同梱する Freemius のバージョン2.10.1までに存在する脆弱性に起因するものです。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d694491c-c0f5-4418-805a-db792ea4f712 |
プラグイン: Post SMTP
| 対象製品 | Post SMTP |
| 対象バージョン | 3.0.0までの全てのバージョン(Post SMTP – Complete Email Deliverability and SMTP Solution with Email Logs, Alerts, Backup SMTP & Mobile App) |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザーにリンクのクリックなどの操作を行わせることで、ページへ任意のウェブスクリプトを挿入し、そのスクリプトを実行させることが可能となる。 ※これはプラグインが同梱する Freemius のバージョン2.10.1までに存在する脆弱性に起因するものです。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d694491c-c0f5-4418-805a-db792ea4f712 |
プラグイン: Menu Image, Icons made easy
| 対象製品 | Menu Image, Icons made easy |
| 対象バージョン | 3.12までの全てのバージョン(Menu Image, Icons made easy) |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザーにリンクのクリックなどの操作を行わせることで、ページへ任意のウェブスクリプトを挿入し、そのスクリプトを実行させることが可能となる。 ※これはプラグインが同梱する Freemius のバージョン2.10.1までに存在する脆弱性に起因するものです。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d694491c-c0f5-4418-805a-db792ea4f712 |
プラグイン: WP Shortcodes Plugin — Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin — Shortcodes Ultimate |
| 対象バージョン | 7.3.3までの全てのバージョン(WP Shortcodes Plugin — Shortcodes Ultimate) |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザーにリンクのクリックなどの操作を行わせることで、ページへ任意のウェブスクリプトを挿入し、そのスクリプトを実行させることが可能となる。 ※これはプラグインが同梱する Freemius のバージョン2.10.1までに存在する脆弱性に起因するものです。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d694491c-c0f5-4418-805a-db792ea4f712 |
プラグイン: Ocean Extra
| 対象製品 | Ocean Extra |
| 対象バージョン | 2.4.2までの全てのバージョン(Ocean Extra) |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザーにリンクのクリックなどの操作を行わせることで、ページへ任意のウェブスクリプトを挿入し、そのスクリプトを実行させることが可能となる。 ※これはプラグインが同梱する Freemius のバージョン2.10.1までに存在する脆弱性に起因するものです。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d694491c-c0f5-4418-805a-db792ea4f712 |
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.53.0までの全てのバージョン |
| 脆弱性概要 | 購読者権限を持つユーザーで認証済みの場合に、すべてのフォーム送信データを攻撃者が制御するメールアドレスへ送信する定期エクスポートジョブを設定することが可能となり、機密情報が外部へ流出する可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d7b8d42c-bceb-456e-a682-358e8df831e3 |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.7までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e4482f92-024d-402d-9cf3-c4709f23baf0 |
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.51.1までの全てのバージョン |
| 脆弱性概要 | 購読者権限を持つユーザー(または権限の低いカスタム Forminator ロール)で認証済みの場合に、任意のフォーム、投票、クイズの内部設定一式(通知の送信先、連携用認証情報、条件分岐ロジックを含む)をエクスポートし、モジュールの削除、すべての送信データや投票の削除、モジュールの複製、一括での公開・下書き状態の変更を行うことが可能となり、機密情報の取得や設定改ざんに悪用される可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e860aa70-b8ef-4b2a-a035-b01efce30a79 |
プラグイン: Loco Translate
| 対象製品 | Loco Translate |
| 対象バージョン | 2.8.2までの全てのバージョン |
| 脆弱性概要 | 翻訳者以上の権限(カスタム 'loco_admin' 権限が必要で、デフォルトでは translator ロールおよび管理者に付与される)を持つユーザーで認証済みの場合に、本来想定された翻訳ディレクトリの外にあるサーバーファイルシステム上の任意の '.php'、'.js'、'.json'、'.twig' ファイルを読み取ることが可能となる。なお、'wp-config.php' という名前のファイルは対象から除外される。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f9ff3058-a08c-40ed-b756-81e703b2277a |
総括
この期間内に報告された脆弱性31件のうち、12件は認証されていない攻撃者に影響を受ける脆弱性で、17件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
この期間も非常に多くの脆弱性が報告されました。任意ファイルの読み取りによる機密情報の取得、保存型XSSによる任意スクリプトの実行、不正な決済完了状態の偽装、コンテンツの恒久的な改ざんなど、外部から直接サイトへ重大な影響を及ぼし得る問題が確認されています。これらは条件次第で管理情報の窃取やサイト改ざん、金銭的被害へ発展する可能性があります。
また、認証されていない攻撃者によるXSSの一部は、個別のプラグイン固有の問題ではなく、プラグインが同梱する Freemius のバージョン2.10.1までに存在する脆弱性に起因するものが複数確認されています。このため、プラグイン・テーマを問わず Freemius を利用しているコンポーネント全体についてバージョン確認と更新対応が必要です。独自に開発しているプラグイン・テーマで Freemius を利用している場合には認識していない箇所にも影響が及ぶ可能性があるため、横断的な確認が重要となります。
深刻度の高い脆弱性としては、編集者権限でのリモートコード実行、購読者権限からの管理者権限への昇格、任意ファイル削除を起点としたコード実行、PHPオブジェクトインジェクションによる追加攻撃の踏み台化などが挙げられます。比較的低い権限からサーバー侵害や権限奪取に至る可能性がある点は特に注意が必要です。PHPオブジェクトインジェクションについては、過去の記事でも解説しています。
総じて、未認証攻撃による外部からの侵入リスクと、低権限ユーザーによる内部権限の悪用リスクの双方が高い水準で確認されています。該当プラグインの速やかなアップデートを最優先とするとともに、不要な権限付与の見直し、外部公開フォームの設定確認、加えて Freemius を含む共通ライブラリの利用状況の棚卸しと更新確認を行うことが重要です。
