WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/05/14-2026/05/20 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 8件
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 3.4.9 |
| 修正バージョン | 3.5.0 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 3.4.9に、MCP OAuth bearer-token 認可経路における WordPress の権限チェック欠如による権限昇格の脆弱性が存在します。これは、有効なOAuthトークンがある場合に、管理者権限を検証せずにMCPアクセスが許可されることによるものです。 購読者以上の権限を持つユーザーで認証済みの場合に、管理者レベルのMCPツールを実行し、管理者権限へ昇格することが可能となる。 |
| 対応方法 | 3.5.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-8719 |
| 公開日 | 2026-05-16 14:19:48 (2026-05-17 02:27:03更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0593c20d-3422-4817-9639-614254b609db |
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.14.5までの全てのバージョン |
| 修正バージョン | 4.14.6 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 4.14.5までの全バージョンに、入力値のサニタイズおよび出力時のエスケープ処理が不十分であることによる保存型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。 認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 対応方法 | 4.14.6以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-42678 |
| 公開日 | 2026-05-16 00:00:00 (2026-05-19 13:30:40更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2a541529-ef53-468c-a7f0-0cd6822bd17b |
プラグイン: MonsterInsights
| 対象製品 | MonsterInsights |
| 対象バージョン | 10.1.2までの全てのバージョン |
| 修正バージョン | 10.1.3 |
| CVSS | 高 (7.1) |
| 脆弱性概要 | 10.1.2までの全バージョンに、'get_ads_access_token()' および 'reset_experience()' 関数における権限チェックの欠如に起因する、不正なデータアクセスおよび改ざんの脆弱性が存在します。 購読者以上の権限を持つユーザーで認証済みの場合に、有効なGoogle OAuthアクセストークンを取得し、プラグインのGoogle Ads連携設定をリセットすることが可能となる。 |
| 対応方法 | 10.1.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-5371 |
| 公開日 | 2026-05-12 09:45:13 (2026-05-18 14:21:32更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5d380b66-675e-451d-a7e3-4efe1fbd08b2 |
プラグイン: Fluent Forms
| 対象製品 | Fluent Forms |
| 対象バージョン | 6.1.21までの全てのバージョン |
| 修正バージョン | 6.2.0 |
| CVSS | 高 (8.2) |
| 脆弱性概要 | 6.1.21までの全バージョンに、ユーザー制御可能なキーによる認可回避(Authorization Bypass Through User-Controlled Key)の脆弱性が存在します。これは、SubmissionPolicy クラスが送信データに対する操作(読み取り、変更、削除、ノート追加)の認可判定を、ユーザーが指定する 'form_id' クエリパラメータに基づいて行っていることによるものです。 特定フォームのみに制限された Fluent Forms Manager 権限を持つユーザーで認証済みの場合に、'form_id' パラメータを自身がアクセス可能なフォームIDへ偽装することで、本来アクセス権のない他フォームの送信データに対して、読み取り、ステータス変更、ノート追加、完全削除を行うことが可能となる。 |
| 対応方法 | 6.2.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-5396 |
| 公開日 | 2026-05-13 17:13:18 (2026-05-14 05:30:30更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/81aad41e-0330-4dff-a5f8-08a108d724f5 |
プラグイン: Burst Statistics
| 対象製品 | Burst Statistics |
| 対象バージョン | 3.4.0から3.4.1.1までの全てのバージョン |
| CVSS | 致命的 (9.8) |
| 脆弱性概要 | 3.4.0から3.4.1.1までのバージョンに、認証バイパス(Authentication Bypass)の脆弱性が存在します。これは、Authorizationヘッダから取得したアプリケーションパスワードを検証する際に、'is_mainwp_authenticated()' 関数の戻り値の処理が誤っていることによるものです。 認証されていない攻撃者が、管理者ユーザー名を把握している場合に、Basic認証のパスワードとして任意の文字列を指定することで、そのリクエスト中に限り管理者になりすますことが可能となり、権限昇格につながる可能性がある。 |
| 対応方法 | 3.4.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-8181 |
| 公開日 | 2026-05-13 16:44:16 (2026-05-14 05:30:30更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8ca830d6-3d3c-4026-85cd-8447b8a568d3 |
プラグイン: Fluent Forms
| 対象製品 | Fluent Forms |
| 対象バージョン | 6.2.0までの全てのバージョン |
| 修正バージョン | 6.2.1 |
| CVSS | 高 (8.2) |
| 脆弱性概要 | 6.2.0までの全バージョンに、'exportEntries' 関数においてユーザー制御可能なキーに対する検証が欠如していることによる不適切な直接オブジェクト参照(Insecure Direct Object Reference)の脆弱性が存在します。 Fluent Forms Manager 以上の権限を持つユーザーで認証済みの場合に、フォーム単位のアクセス制限を回避し、本来閲覧権限のないフォームの送信データへアクセスすることが可能となる。また、任意のデータベーステーブルからデータをエクスポートし、エラーメッセージを通じてデータベーステーブル名を列挙することが可能となる。 |
| 対応方法 | 6.2.1以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-5395 |
| 公開日 | 2026-05-13 18:08:24 (2026-05-14 06:44:12更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9cd12b8a-2033-4236-abcd-2a8d08e7f099 |
プラグイン: Kirki
| 対象製品 | Kirki |
| 対象バージョン | 6.0.6までの全てのバージョン |
| 修正バージョン | 6.0.7 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 6.0.6までの全バージョンに、'downloadZIP' 関数におけるファイルパス検証の不十分さおよび権限チェックの欠如による任意ファイル削除の脆弱性が存在します。 認証されていない攻撃者が、WordPress の uploads ベースディレクトリ内に限定される任意のファイルを読み取り、削除することが可能となる。 |
| 対応方法 | 6.0.7以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-8073 |
| 公開日 | 2026-05-19 06:24:51 (2026-05-19 18:33:52更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b073edd0-3f40-423e-976e-996b29caf66e |
プラグイン: ManageWP Worker
| 対象製品 | ManageWP Worker |
| 対象バージョン | 4.9.31までの全てのバージョン |
| 修正バージョン | 4.9.32 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 4.9.31までの全バージョンに、'MWP-Key-Name' HTTPリクエストヘッダを介した保存型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。これは、攻撃者が制御可能なヘッダ値に対する入力値のサニタイズおよび出力時のエスケープ処理が不十分であることによるものです。 認証されていない攻撃者が、管理者がデバッグパラメータ付きでプラグインの接続管理ページへアクセスした際に実行される任意のウェブスクリプトを挿入することが可能となる。 |
| 対応方法 | 4.9.32以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-3718 |
| 公開日 | 2026-05-13 18:06:28 (2026-05-14 06:44:13更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/db6f08f9-4da3-450d-bf1e-5c9f0aab02a1 |
他の脆弱性: 5件
プラグイン: All in One SEO
| 対象製品 | All in One SEO |
| 対象バージョン | 4.9.7までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページソースから設定済みのAPI/OAuthトークンやライセンス関連の値を閲覧することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0d8bc203-c17a-4b31-8f9e-695f9e638cda |
プラグイン: Kirki
| 対象製品 | Kirki |
| 対象バージョン | 6.0.6までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、すべての Kirki フロントエンドフォームを閲覧し、連絡先情報、メッセージ、その他サイトフォームを通じて訪問者が送信した情報を含む、保存済みのフォーム送信データを読み取ることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1a4414b1-6a49-42f8-9927-93763d1502ce |
プラグイン: MW WP Form
| 対象製品 | MW WP Form |
| 対象バージョン | 5.1.2までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、本来アクセス権のないパスワード保護された投稿、非公開投稿、下書き投稿からデータを取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7f2c39f6-3d37-4765-99e8-023610856b61 |
プラグイン: OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 3.6.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。なお、本脆弱性はライブラリ(Magnific Popups バージョン1.2.0)において、特定フィールド内のHTML読み込みをデフォルトで無効化することで修正されている。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
プラグイン: Shortcodes Ultimate
| 対象製品 | Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。なお、本脆弱性はライブラリ(Magnific Popups バージョン1.2.0)において、特定フィールド内のHTML読み込みをデフォルトで無効化することで修正されている。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
総括
この期間内に報告された脆弱性13件のうち、5件は認証されていない攻撃者に影響を受ける脆弱性で、8件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
今回の特徴は、認証不要で悪用可能な脆弱性の中に、任意ファイルの読み取り・削除、管理者になりすまし、保存型XSSなど、影響の大きいものが含まれている点です。
深刻度が高い脆弱性に致命的 (Critical) なリスクがある脆弱性が報告されています。Burst Statistics では管理者ユーザー名を知っている場合に、管理者になりすませる問題が報告されています。外部からユーザー名を取得する手段は複数あり、総当たりによって外部からの攻撃リスクが高い内容です。該当のプラグインを使用している場合は、緊急の対応が必要です。
他の深刻度が高い脆弱性では、AI Engine の権限昇格、Fluent Forms の認可回避、MonsterInsights のGoogle OAuthアクセストークン取得、Kirki では uploads ディレクトリ配下のファイル操作が可能となる問題、ManageWP Worker の保存型XSSなどが確認されています。これらは単なる情報表示の問題にとどまらず、管理者権限の取得、フォーム送信データの改ざん・削除、外部連携設定の侵害、管理画面上でのスクリプト実行につながる可能性があります。
深刻度は高くありませんが、OceanWP と Shortcodes Ultimate では、使用しているライブラリである Magnific Popups の修正に関連するXSSが報告されています。個別プラグインだけでなく、同梱ライブラリのバージョンにも注意が必要です。プロジェクトで Magnific Popups を使用している場合には合わせて確認してください。
全体として、管理者権限への昇格、外部連携トークンの露出、フォームデータの不正操作、ファイル操作、XSSといった実害につながりやすい脆弱性が中心です。該当プラグインを利用している場合は、修正バージョンへの更新を優先し、あわせてフォーム機能、外部連携、低権限ユーザーへの権限付与状況を確認することが重要です。