WordPress テーマ・プラグイン 脆弱性情報のまとめ(2026/05/21-2026/05/27)

Security Advisory for WordPress

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

  • 期間: 2026/05/21-2026/05/27 に報告があったもの
  • 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
    • WordPress.orgにおける "Active installations" が 10万 以上である
    • 日本語の翻訳に対応している

深刻度が高い脆弱性: 3件

プラグイン: LiteSpeed Cache

対象製品LiteSpeed Cache
対象バージョン 7.7までの全てのバージョン
修正バージョン7.8
CVSS高 (7.2)
脆弱性概要7.7までの全てのバージョンにおいて、'/wp-json/litespeed/v1/notify_ccss' および '/wp-json/litespeed/v1/notify_ucss' REST APIエンドポイントを介した蓄積型クロスサイトスクリプティングの脆弱性が存在する。これらのエンドポイントはQUIC.cloudのコールバック通知からCSSコンテンツを受け取り、サニタイズせずにディスクへ保存する。保存されたコンテンツはその後、出力エスケープなしでフロントエンドのページ読み込み時にインラインでレンダリングされる。これらのエンドポイントを保護するアクセス制御はIPベースの検証であり、WordPressサイトがリバースプロキシ・ロードバランサー・特定の設定のCDNの背後に配置されている場合に迂回される可能性がある。特定の条件下で、認証されていない攻撃者がCCSS/UCSSコンテンツに任意のJavaScriptを挿入することが可能となる。
対応方法7.8以降にアップデートする
CVEhttps://www.cve.org/CVERecord?id=CVE-2026-3375
公開日2026-05-26 00:00:00 (2026-05-27 07:45:55更新)
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/40fa29f5-525a-4986-91f9-0210a7594e46

プラグイン: WPCode

対象製品WPCode
対象バージョン 2.3.5までの全てのバージョン
修正バージョン2.3.6
CVSS高 (8.8)
脆弱性概要2.3.5までの全てのバージョンにおいて、リモートコード実行の脆弱性が存在する。これは 'wpcode_register_post_type()' 関数において 'wpcode' カスタム投稿タイプがカスタムのcapability_typeや権限制限なしで登録されているため、XML-RPCを含む全ての作成パスでWordPressコアが標準の投稿権限にフォールバックすることが原因である。投稿者以上の権限を持つユーザーで認証済みの場合に、XML-RPC 'wp.newPost' を通じて実行可能なPHPスニペット投稿を作成・公開し、そのスニペットが '[wpcode]' ショートコードでレンダリングされる際に 'run_eval()' 関数内の 'eval()' でサーバーサイドで実行させることが可能となる。
対応方法2.3.6以降にアップデートする
CVEhttps://www.cve.org/CVERecord?id=CVE-2026-8832
公開日2026-05-26 17:48:25 (2026-05-27 06:46:16更新)
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/75a2e8b1-d5e0-4f7b-a70a-f0aadf58c778

プラグイン: WooCommerce PayPal Payments

対象製品WooCommerce PayPal Payments
対象バージョン 4.0.1までの全てのバージョン
修正バージョン4.0.2
CVSS高 (8.2)
脆弱性概要4.0.1までの全てのバージョンにおいて、'ppc-create-order' および 'ppc-get-order' WC-AJAXエンドポイントへの認可チェックの欠如により、不正な注文操作および情報漏洩の脆弱性が存在する。'ppc-create-order' エンドポイントは 'pay-now' コンテキストで任意のWooCommerce注文IDを注文の所有権を検証せずに受け付けるため、攻撃者はあらゆるWC注文に対してPayPal注文を作成しPayPalメタデータを書き込むことができる。'ppc-get-order' エンドポイントはリクエスト者のセッションに紐付けることなく任意のPayPal注文IDの全ての注文詳細を返す。認証されていない攻撃者が、被害者のWC注文に対してPayPal注文を作成してPayPal注文データを取得することで、これらのエンドポイントを連鎖させ、他の顧客の注文支払いフローを操作し、機密性の高い注文詳細(支払者情報・配送データ)を窃取することが可能となる。
対応方法4.0.2以降にアップデートする
CVEhttps://www.cve.org/CVERecord?id=CVE-2026-9284
公開日2026-05-22 16:04:24 (2026-05-23 04:27:18更新)
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/d5fa3282-b3be-4ea1-9865-011dea828a25

他の脆弱性: 5件

プラグイン: Yoast SEO

対象製品Yoast SEO
対象バージョン 26.5までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済みの場合に、'post_id' パラメータを通じて、他ユーザーの投稿・非公開投稿・下書きを含むサイト内の任意の投稿から機密性の高いSEOメタデータを読み取ることが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/04b2123d-ae0c-4984-95f5-7040f8604c92

プラグイン: PDF Embedder

対象製品PDF Embedder
対象バージョン 4.9.3までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済みの場合に、設定データを取得することが可能となる。プレミアムアドオンがインストールされライセンスキーが保存されている場合はキーが漏洩する。Liteのみの環境では、幅・高さ・ツールバー設定・使用状況追跡・プランなど機密性のないビューアー設定値に限定される。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/0e0f2516-0fa7-415e-868e-6bd259bc6546

プラグイン: Photo Gallery by 10Web

対象製品Photo Gallery by 10Web
対象バージョン 1.8.40までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済みの場合に、既存のクエリに追加のSQLクエリを挿入してデータベースから機密情報を取得することが可能となる。投稿や下書きに悪意のあるショートコードを埋め込むことで悪用でき、ショートコードのレンダリング時に挿入されたSQLが実行される。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/27394b03-3604-4fb0-950f-e1f838cabb05

プラグイン: WP Activity Log

対象製品WP Activity Log
対象バージョン 5.6.3までの全てのバージョン
脆弱性概要購読者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/7c0d1fdb-b5a2-4a6b-a537-cacbb356dae4

プラグイン: Easy Updates Manager

対象製品Easy Updates Manager
対象バージョン 9.0.20までの全てのバージョン
脆弱性概要認証されていない攻撃者が、管理者にリンクのクリックなどの操作を行わせることで、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/bbbd989c-4d69-45c9-bcb9-44f9ab98b969

総括

この期間内に報告された脆弱性8件のうち、3件は認証されていない攻撃者に影響を受ける脆弱性で、5件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。

深刻度が高い脆弱性のうち、WPCode のリモートコード実行(CVSS 8.8)は、投稿者以上の権限を持つユーザーが XML-RPC 経由で PHP スニペット投稿を作成・公開でき、ショートコード経由でサーバー上で実行される問題で、今回報告された中で最も深刻な評価です。WooCommerce PayPal Payments では、認証されていない攻撃者が他の顧客の注文支払いフローを操作し、支払者情報や配送データなどの機密情報を窃取することが可能で、EC サイトへの影響が懸念されます。LiteSpeed Cache の蓄積型 XSS は、リバースプロキシ・ロードバランサー・特定設定の CDN 環境でアクセス制御が迂回された場合に、認証なしで悪用できる可能性があります。

他の脆弱性では、Photo Gallery by 10Web の SQL インジェクションがデータベース内の機密情報取得につながるおそれがあります。Yoast SEO では寄稿者以上の権限で非公開投稿・下書きを含む SEO メタデータが閲覧可能となります。WP Activity Log では購読者以上の権限で蓄積型 XSS が、Easy Updates Manager では管理者への操作誘導によって反射型 XSS が悪用できる問題がそれぞれ報告されています。

全体として、コードスニペット管理・決済・SEO・ギャラリー・ログ管理といったサイト運営に深く関わるプラグインへの影響が多く含まれています。該当プラグインは速やかに修正バージョンへ更新し、XML-RPC の利用状況、PayPal 連携設定、投稿権限の付与状況についても合わせて確認することが重要です。

Security Advisory for WordPress はメールでも配信しています。
こちらからお申し込みください:https://www.prime-strategy.co.jp/mail-magazine/

KUSANAGI 9 バージョンアップ情報 9.8.13-1

KUSANAGI Open Source Licenses | KUSANAGI Business Edition, Premium Edition, Security Edition End-User License Agreement

KUSANAGI ロゴ使用ガイドライン | プライバシーポリシ | 脆弱性情報公開ポリシー | お問い合わせ

© 2015 - 2026 GMO Prime Strategy Co., Ltd. All rights reserved