WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/05/07-2026/05/13 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 8件
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 3.14.1までの全てのバージョン |
| 修正バージョン | 3.14.2 |
| CVSS | 高 (8.1) |
| 脆弱性概要 | 3.14.1までの全バージョンに、信頼できない入力のデシリアライズに起因するPHPオブジェクトインジェクションの脆弱性が存在します。 認証されていない攻撃者が、任意のPHPオブジェクトを注入することが可能となる。なお、当該ソフトウェア自体には既知のPOPチェーンは存在しないが、対象システムに他のプラグインやテーマを通じてPOPチェーンが存在する場合には、任意のファイル削除、機密情報の取得、コード実行などにつながる可能性がある。 |
| 対応方法 | 3.14.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2024-37099 |
| 公開日 | 2024-08-09 00:00:00 (2026-05-07 13:59:03更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1c9b7866-d4e4-4ed0-a94b-1daef73a10bc |
プラグイン: MonsterInsights
| 対象製品 | MonsterInsights |
| 対象バージョン | 10.1.2までの全てのバージョン |
| 修正バージョン | 10.1.3 |
| CVSS | 高 (7.1) |
| 脆弱性概要 | 10.1.2までの全バージョンに、'get_ads_access_token()' および 'reset_experience()' 関数における権限チェックの欠如に起因する、不正なデータアクセスおよび改ざんの脆弱性が存在します。 購読者以上の権限を持つユーザーで認証済みの場合に、有効なGoogle OAuthアクセストークンを取得し、プラグインのGoogle Ads連携設定をリセットすることが可能となる。 |
| 対応方法 | 10.1.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-5371 |
| 公開日 | 2026-05-12 09:45:13 (2026-05-12 22:24:24更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5d380b66-675e-451d-a7e3-4efe1fbd08b2 |
プラグイン: Fluent Forms
| 対象製品 | Fluent Forms |
| 対象バージョン | 6.1.21までの全てのバージョン |
| 修正バージョン | 6.2.0 |
| CVSS | 高 (8.2) |
| 脆弱性概要 | 6.1.21までの全バージョンに、ユーザー制御可能なキーによる認可回避(Authorization Bypass Through User-Controlled Key)の脆弱性が存在します。これは、SubmissionPolicy クラスが送信データに対する操作(読み取り、変更、削除、ノート追加)の認可判定を、ユーザーが指定可能な 'form_id' クエリパラメータに基づいて行っていることによるものです。 特定フォームのみに制限された Fluent Forms Manager 権限を持つユーザーで認証済みの場合に、'form_id' パラメータを自身がアクセス可能なフォームIDへ偽装することで、本来アクセス権のない他フォームの送信データに対して、読み取り、ステータス変更、ノート追加、完全削除を行うことが可能となる。 |
| 対応方法 | 6.2.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-5396 |
| 公開日 | 2026-05-13 17:13:18 (2026-05-13 17:13:21更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/81aad41e-0330-4dff-a5f8-08a108d724f5 |
プラグイン: Fluent Forms
| 対象製品 | Fluent Forms |
| 対象バージョン | 6.2.0までの全てのバージョン |
| 修正バージョン | 6.2.1 |
| CVSS | 高 (8.2) |
| 脆弱性概要 | 6.2.0までの全バージョンに、ユーザー制御可能なキーに対する検証不備に起因する不適切な直接オブジェクト参照(Insecure Direct Object Reference)の脆弱性が存在します。これは、'exportEntries' 関数において、ユーザーが指定する値に対する適切な検証が行われていないことによるものです。 Fluent Forms Manager 以上の権限を持つユーザーで認証済みの場合に、フォーム単位のアクセス制限を回避し、本来閲覧権限のないフォームの送信データへアクセスすることが可能となる。また、任意のデータベーステーブルからデータをエクスポートしたり、エラーメッセージを通じてデータベーステーブル名を列挙したりすることが可能となる。 |
| 対応方法 | 6.2.1以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-5395 |
| 公開日 | 2026-05-13 18:08:24 (2026-05-13 18:08:26更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9cd12b8a-2033-4236-abcd-2a8d08e7f099 |
プラグイン: WP-Optimize
| 対象製品 | WP-Optimize |
| 対象バージョン | 4.5.2までの全てのバージョン |
| 修正バージョン | 4.5.3 |
| CVSS | 高 (8.1) |
| 脆弱性概要 | 4.5.2までの全バージョンに、'unscheduled_original_file_deletion' 関数におけるファイルパス検証が不十分であることによる任意ファイル削除の脆弱性が存在します。 投稿者以上の権限を持つユーザーで認証済みの場合に、サーバー上の任意のファイルを削除することが可能となり、適切なファイル(例:wp-config.php)が削除された場合にはリモートコード実行につながる可能性がある。これは、'original-file' がアンダースコアで始まらない公開メタキー(非保護メタキー)であり、投稿者が標準のメディア編集フォームまたはREST APIを通じて、自身の添付ファイル投稿に対して自由に作成・変更できるためである。 |
| 対応方法 | 4.5.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-7252 |
| 公開日 | 2026-05-06 15:34:39 (2026-05-07 04:27:34更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/cc815ef2-dd02-4faa-b202-dd1552f889db |
プラグイン: ManageWP Worker
| 対象製品 | ManageWP Worker |
| 対象バージョン | 4.9.31までの全てのバージョン |
| 修正バージョン | 4.9.32 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 4.9.31までの全バージョンに、'MWP-Key-Name' HTTPリクエストヘッダを介した保存型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。これは、攻撃者が制御可能なヘッダ値に対する入力値のサニタイズおよび出力時のエスケープ処理が不十分であることによるものです。 認証されていない攻撃者が、管理者がデバッグパラメータ付きでプラグインの接続管理ページへアクセスした際に実行される任意のウェブスクリプトを挿入することが可能となる。 |
| 対応方法 | 4.9.32以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-3718 |
| 公開日 | 2026-05-13 18:06:28 (2026-05-13 18:06:30更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/db6f08f9-4da3-450d-bf1e-5c9f0aab02a1 |
プラグイン: Burst Statistics
| 対象製品 | Burst Statistics |
| 対象バージョン | 1.5.3までの全てのバージョン |
| 修正バージョン | 1.5.4 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 1.5.3までの全バージョンに、'/wp-json/burst/v1/data/compare' エンドポイントの複数のJSONパラメータを介した認証後SQLインジェクション(Post-Authenticated SQL Injection)の脆弱性が存在します。影響を受けるパラメータには、'browser'、'device'、'page_id'、'page_url'、'platform'、'referrer' が含まれます。 これは、ユーザー入力値に対するエスケープ処理が不十分であり、SQLクエリに対して適切なプリペアドステートメントが使用されていないことによるものです。 編集者以上の権限を持つユーザーで認証済みの場合に、既存のSQLクエリへ追加のSQLクエリを挿入することが可能となり、データベースから機密情報を不正に取得される可能性がある。 |
| 対応方法 | 1.5.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2024-0405 |
| 公開日 | 2024-01-16 00:00:00 (2026-05-11 14:17:10更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e349f07d-a520-4700-a6e0-25e68c1deeae |
プラグイン: Custom Twitter Feeds
| 対象製品 | Custom Twitter Feeds |
| 対象バージョン | 2.5.4までの全てのバージョン |
| 修正バージョン | 2.5.5 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 2.5.4までの全バージョンに、保存型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。これは、キャッシュされたツイートテキストを描画する 'CTF_Display_Elements::get_post_text()' 関数において、出力時のエスケープ処理が不十分であることによるものです。 プラグインの 'ctf_get_more_posts' AJAXアクションは認証されていないユーザーから利用可能であり、キャッシュされたツイートデータをHTMLエスケープせずに nl2br() を通して直接出力します。そのため、攻撃者がサイトのフィード設定を利用して悪意のあるツイート内容をキャッシュへ混入させた場合、または他の脆弱性を通じてキャッシュデータへ悪意のある内容を書き込めた場合に、悪意のあるHTMLやJavaScriptが実行されます。 認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入し、影響を受けるエンドポイントへユーザーがアクセスした際にスクリプトを実行させることが可能となる。 |
| 対応方法 | 2.5.5以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-6177 |
| 公開日 | 2026-05-12 00:00:00 (2026-05-13 12:29:56更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e4b2178f-e4da-4bfb-9c27-8c1884499769 |
他の脆弱性: 18件
プラグイン: Beaver Builder Page Builder
| 対象製品 | Beaver Builder Page Builder |
| 対象バージョン | 2.10.1.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、既存のSQLクエリへ追加のSQLクエリを挿入することが可能となり、データベースから機密情報を取得される可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/191f5bc3-9b8e-4ec7-b8b3-91572ef97911 |
プラグイン: VK All in One Expansion Unit
| 対象製品 | VK All in One Expansion Unit |
| 対象バージョン | 9.112.3までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1e7efb39-fada-4167-825c-21cc31948a63 |
プラグイン: PDF Invoices & Packing Slips for WooCommerce
| 対象製品 | PDF Invoices & Packing Slips for WooCommerce |
| 対象バージョン | 5.6.0までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、Peppol 請求機能を利用しているシステムにおいて、任意の 'order_id' パラメータを指定することで、任意の顧客の Peppol/EDI エンドポイント識別子('peppol_endpoint_id'、'peppol_endpoint_eas')を変更することが可能となる。これにより、Peppol ネットワーク上での注文ルーティングへ影響を与え、支払い障害や情報漏えいにつながる可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2e1922c6-e63b-47aa-97de-1e2382fa25d3 |
プラグイン: Image Widget
| 対象製品 | Image Widget |
| 対象バージョン | 4.4.11までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2e9463de-a9ea-4702-8c46-b2e99b18cef0 |
プラグイン: Contact Form 7
| 対象製品 | Contact Form 7 |
| 対象バージョン | 6.0.5までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、単一の Stripe PaymentIntent を複数の取引で再利用することが可能となる。Stripe による実際の決済処理は最初の取引のみで行われるが、プラグインは各取引に対して成功メールを送信するため、管理者がそれぞれの注文を正当な支払い済み注文として処理してしまう可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/38257dbf-288e-4028-af65-85f5389888ac |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.9までの全てのバージョン |
| 脆弱性概要 | 講師以上の権限を持つユーザーで認証済みの場合に、他の講師が管理するコースコンテンツに対して権限のない操作を実行することが可能となる。これには、レッスン、課題、クイズ(受講者の回答データを含む)、トピック、お知らせ、Q&Aスレッドの恒久的な削除に加え、被害者のコース内でのレッスン、トピック、お知らせの作成・変更、受講者のクイズ成績の改ざん、未公開のレッスンおよびクイズ内容の閲覧などが含まれる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/55924ea3-373c-4297-a958-5670def1f6c0 |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.7までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6625dcea-13cc-4c08-9361-946638bf6678 |
プラグイン: YITH WooCommerce Wishlist
| 対象製品 | YITH WooCommerce Wishlist |
| 対象バージョン | 4.12.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/73f0e8f0-88cd-4994-ad85-a0cf3e825a7b |
プラグイン: Simple CAPTCHA Alternative with Cloudflare Turnstile
| 対象製品 | Simple CAPTCHA Alternative with Cloudflare Turnstile |
| 対象バージョン | 1.38.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、1回成功した Turnstile の送信結果を複数回の検証に使い回すことが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7e503e94-f544-4b77-9a79-e51836e30806 |
プラグイン: MW WP Form
| 対象製品 | MW WP Form |
| 対象バージョン | 5.1.2までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、本来アクセス権のないパスワード保護された投稿、非公開投稿、下書き投稿からデータを取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7f2c39f6-3d37-4765-99e8-023610856b61 |
プラグイン: Burst Statistics
| 対象製品 | Burst Statistics |
| 対象バージョン | 3.4.0から3.4.1.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、管理者ユーザー名を把握している場合に、Basic認証のパスワードとして任意の文字列を指定することで、そのリクエスト中に限り管理者になりすますことが可能となり、権限昇格につながる可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8ca830d6-3d3c-4026-85cd-8447b8a568d3 |
プラグイン: WPForms
| 対象製品 | WPForms |
| 対象バージョン | 1.10.0.2までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、サイト管理者にリンクのクリックなどの操作を行わせることで、細工したリクエストを通じて権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9009deff-bf5a-4434-8f73-1485f733d599 |
プラグイン: Ultimate Member
| 対象製品 | Ultimate Member |
| 対象バージョン | 2.11.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザーにリンクのクリックなどの操作を行わせることで、ページへ任意のウェブスクリプトを挿入し、そのスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ba62b804-f101-4e29-8304-fb2b7dad333c |
プラグイン: Fluent Forms
| 対象製品 | Fluent Forms |
| 対象バージョン | 6.2.1までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ce2d2594-e856-4249-9467-01c0fe1c0c71 |
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.53.0までの全てのバージョン |
| 脆弱性概要 | 購読者権限を持つユーザーで認証済みの場合に、すべてのフォーム送信データを攻撃者が制御するメールアドレスへ送信する定期エクスポートジョブを設定することが可能となり、機密情報が外部へ流出する可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d7b8d42c-bceb-456e-a682-358e8df831e3 |
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.51.1までの全てのバージョン |
| 脆弱性概要 | 購読者権限を持つユーザー(または権限の低いカスタム Forminator ロール)で認証済みの場合に、任意のフォーム、投票、クイズの内部設定一式(通知の送信先、連携用認証情報、条件分岐ロジックを含む)をエクスポートし、モジュールの削除、すべての送信データや投票の削除、モジュールの複製、一括での公開・下書き状態の変更を行うことが可能となり、機密情報の取得や設定改ざんに悪用される可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e860aa70-b8ef-4b2a-a035-b01efce30a79 |
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.14.5までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、権限のない操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/eaa01222-28e4-4718-83c1-c7af91ad0326 |
プラグイン: Advanced Custom Fields: Extended
| 対象製品 | Advanced Custom Fields: Extended |
| 対象バージョン | 0.9.2.3までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、任意のショートコードを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f8544784-1994-47e2-be39-568d0ab9ee00 |
総括
この期間内に報告された脆弱性26件のうち、12件は認証されていない攻撃者に影響を受ける脆弱性で、14件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今回の特徴は、フォーム・決済・分析系プラグインに関する脆弱性が目立つ点です。Fluent Forms では、フォーム単位のアクセス制限を回避して送信データを閲覧・変更・削除できる問題や、任意のデータベーステーブルをエクスポートできる問題が報告されています。Forminator Forms でも、フォーム送信データの外部送信や内部設定のエクスポートが可能となる問題が含まれており、問い合わせ内容、通知先、連携情報などの漏えいに注意が必要です。
認証されていない攻撃者に影響する脆弱性では、GiveWP のPHPオブジェクトインジェクション、ManageWP Worker や Custom Twitter Feeds の保存型XSS、Contact Form 7 のStripe PaymentIntent再利用、Burst Statistics の管理者なりすましなどが特に重要です。これらは、条件によってはコード実行、管理者操作の誘導、支払い処理の誤認、権限昇格につながる可能性があります。
深刻度が高い脆弱性では、PHPオブジェクトインジェクション、認可回避、SQLインジェクション、任意ファイル削除、保存型XSSが確認されています。とくに WP-Optimize の任意ファイル削除は 'wp-config.php' など重要ファイルが削除された場合にリモートコード実行へつながる可能性があり、Burst Statistics のSQLインジェクションはデータベース内の機密情報取得につながるおそれがあります。
全体として、単なる表示上の不具合ではなく、フォーム送信データ、決済処理、分析データ、外部連携トークン、サーバーファイルなど、実運用上の重要資産に影響する脆弱性が多く含まれています。該当プラグインは速やかに修正バージョンへ更新し、あわせてフォーム管理権限、外部連携設定、決済機能、不要な管理ロールの付与状況を確認することが重要です。
