WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/05/28-2026/06/03 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 7件
プラグイン: Kirki
| 対象製品 | Kirki |
| 対象バージョン | 6.0.0から6.0.6までの全てのバージョン |
| 修正バージョン | 6.0.7 |
| CVSS | 致命的 (9.8) |
| 脆弱性概要 | 6.0.0から6.0.6までの全てのバージョンにおいて、アカウント乗っ取りによる権限昇格の脆弱性が存在する。これはパスワードリセットリクエストでユーザー名が使用された際に、プラグインが任意のメールアドレスを受け入れることが原因である。認証されていない攻撃者が、サイトに登録された任意のユーザーのパスワードリセットリンクを攻撃者自身のメールアドレスに送信させることが可能となる。 |
| 対応方法 | 6.0.7以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-8206 |
| 公開日 | 2026-06-01 15:03:50 (2026-06-02 03:28:49更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3b5630bd-5bce-4226-959f-5e81ae69b799 |
プラグイン: Post SMTP
| 対象製品 | Post SMTP |
| 対象バージョン | 3.6.2までの全てのバージョン |
| 修正バージョン | 3.6.3 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 3.6.2までの全てのバージョンにおいて、入力サニタイズおよび出力エスケープの不備により、蓄積型クロスサイトスクリプティングの脆弱性が存在する。認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 対応方法 | 3.6.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-48838 |
| 公開日 | 2026-05-28 00:00:00 (2026-06-01 16:21:31更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/863acd01-c9fa-44d5-afc4-1a6baefcf709 |
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 3.4.9までの全てのバージョン |
| 修正バージョン | 3.5.0 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 3.4.9までの全てのバージョンにおいて、権限昇格の脆弱性が存在する。編集者以上の権限を持つユーザーで認証済みの場合に、権限を昇格させることが可能となる。 |
| 対応方法 | 3.5.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-27407 |
| 公開日 | 2026-05-28 00:00:00 (2026-06-02 11:42:37更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b73edf8f-7017-4239-8ddc-038481d3f65f |
プラグイン: Advanced Custom Fields: Extended
| 対象製品 | Advanced Custom Fields: Extended |
| 対象バージョン | 0.9.2.5までの全てのバージョン |
| 修正バージョン | 0.9.2.6 |
| CVSS | 致命的 (9.8) |
| 脆弱性概要 | 0.9.2.5までの全てのバージョンにおいて、バリデーション回避による権限昇格の脆弱性が存在する。これは 'after_validate_save_post()' 関数が、認証や整合性検証なしに攻撃者が制御する '_acf_post_id' POSTパラメータを無条件に信頼し、'acfe:' で始まらない全てのバリデーションエラーを黙って破棄するクリーンアップ分岐を選択することが原因である。認証されていない攻撃者が、'acfe_field_user_roles::validate_front_value()' によって追加されたロール許可リストのバリデーションエラーと、'acfe_module_form_action_user::validate_action()' によって追加された管理者ロールの権限ガードエラーを両方抑制し、攻撃者が指定した管理者ロール引数で 'wp_insert_user()' を実行させ、新たな管理者レベルのユーザーアカウントを作成することが可能となる。悪用にはロールフィールドをマッピングしたCreate Userアクションを持つACFEフロントエンドフォームが公開されている必要がある。 |
| 対応方法 | 0.9.2.6以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-8809 |
| 公開日 | 2026-05-28 10:09:02 (2026-05-28 22:27:27更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/bd332f49-5aa9-4207-89db-84692a6430e0 |
プラグイン: WooCommerce PayPal Payments
| 対象製品 | WooCommerce PayPal Payments |
| 対象バージョン | 4.0.1までの全てのバージョン |
| 修正バージョン | 4.0.2 |
| CVSS | 高 (8.2) |
| 脆弱性概要 | 4.0.1までの全てのバージョンにおいて、'ppc-create-order' および 'ppc-get-order' WC-AJAXエンドポイントへの認可チェックの欠如により、不正な注文操作および情報漏洩の脆弱性が存在する。'ppc-create-order' エンドポイントは 'pay-now' コンテキストで任意のWooCommerce注文IDを注文の所有権を検証せずに受け付けるため、攻撃者はあらゆるWC注文に対してPayPal注文を作成しPayPalメタデータを書き込むことができる。'ppc-get-order' エンドポイントはリクエスト者のセッションに紐付けることなく任意のPayPal注文IDの全ての注文詳細を返す。認証されていない攻撃者が、被害者のWC注文に対してPayPal注文を作成してPayPal注文データを取得することで、これらのエンドポイントを連鎖させ、他の顧客の注文支払いフローを操作し、機密性の高い注文詳細(支払者情報・配送データ)を窃取することが可能となる。 |
| 対応方法 | 4.0.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-9284 |
| 公開日 | 2026-05-22 16:04:24 (2026-06-01 15:33:38更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d5fa3282-b3be-4ea1-9865-011dea828a25 |
プラグイン: Favicon by RealFaviconGenerator
| 対象製品 | Favicon by RealFaviconGenerator |
| 対象バージョン | 1.3.46までの全てのバージョン |
| 修正バージョン | 1.3.47 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 1.3.46までの全てのバージョンにおいて、入力サニタイズおよび出力エスケープの不備により、蓄積型クロスサイトスクリプティングの脆弱性が存在する。認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 対応方法 | 1.3.47以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-42754 |
| 公開日 | 2026-05-30 00:00:00 (2026-06-01 16:04:04更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d6e16234-ec7b-466f-bc11-e80e63dec49f |
プラグイン: WP Statistics
| 対象製品 | WP Statistics |
| 対象バージョン | 14.16.6までの全てのバージョン |
| 修正バージョン | 14.16.7 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 14.16.6までの全てのバージョンにおいて、入力サニタイズおよび出力エスケープの不備により、蓄積型クロスサイトスクリプティングの脆弱性が存在する。認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 対応方法 | 14.16.7以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-48839 |
| 公開日 | 2026-06-01 00:00:00 (2026-06-01 16:18:16更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dd389d3b-046c-41cb-a077-7dcb9fd50eda |
他の脆弱性: 14件
プラグイン: SVG Support
| 対象製品 | SVG Support |
| 対象バージョン | 2.5.14までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/07b7c6ed-c3dc-4daa-8921-eeb856e45386 |
プラグイン: PDF Embedder
| 対象製品 | PDF Embedder |
| 対象バージョン | 4.9.3までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、設定データを取得することが可能となる。プレミアムアドオンがインストールされライセンスキーが保存されている場合はキーが漏洩する。Liteのみの環境では、幅・高さ・ツールバー設定・使用状況追跡・プランなど機密性のないビューアー設定値に限定される。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0e0f2516-0fa7-415e-868e-6bd259bc6546 |
プラグイン: Photo Gallery by 10Web
| 対象製品 | Photo Gallery by 10Web |
| 対象バージョン | 1.8.40までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、既存のクエリに追加のSQLクエリを挿入してデータベースから機密情報を取得することが可能となる。投稿や下書きに悪意のあるショートコードを埋め込むことで悪用でき、ショートコードのレンダリング時に挿入されたSQLが実行される。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/27394b03-3604-4fb0-950f-e1f838cabb05 |
プラグイン: Adminimize
| 対象製品 | Adminimize |
| 対象バージョン | 1.11.11までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/63ddf445-7b48-48f3-b097-bd7991216c3f |
プラグイン: LatePoint
| 対象製品 | LatePoint |
| 対象バージョン | 5.3.2までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、リンクのクリックなどの操作をログイン済みの顧客に行わせることで、偽造リクエストによって顧客の予約をキャンセルさせることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6a9285fb-fc4e-4ea4-89d5-f376f03c54a4 |
プラグイン: ElementsKit Elementor Addons
| 対象製品 | ElementsKit Elementor Addons |
| 対象バージョン | 3.9.6までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6f1345b0-a43e-475f-9d19-78600f17b8e6 |
プラグイン: GenerateBlocks
| 対象製品 | GenerateBlocks |
| 対象バージョン | 2.1.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、機密性の高いユーザー情報または設定データを取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/72f6b96e-cff4-414e-bbe8-6a244cc6feed |
プラグイン: WPForms
| 対象製品 | WPForms |
| 対象バージョン | 1.10.0.4までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/aa60f16f-bd25-4b8b-9e3c-0996b9e3de42 |
プラグイン: Advanced Custom Fields (ACF®)
| 対象製品 | Advanced Custom Fields (ACF®) |
| 対象バージョン | 6.8.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b061facb-0411-4b81-adbd-b1419b7210df |
プラグイン: DearFlip
| 対象製品 | DearFlip |
| 対象バージョン | 2.4.28までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b3146b41-27d5-465d-a9ec-af4c50a0d612 |
プラグイン: Easy Updates Manager
| 対象製品 | Easy Updates Manager |
| 対象バージョン | 9.0.20までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、管理者にリンクのクリックなどの操作を行わせることで、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/bbbd989c-4d69-45c9-bcb9-44f9ab98b969 |
プラグイン: Rank Math SEO
| 対象製品 | Rank Math SEO |
| 対象バージョン | 1.0.271までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ホームページタイトル・メタディスクリプション・パンくずリストラベル・ソーシャルメディアメタデータなど複数のプラグイン設定を変更することが可能となる。これによりSEOランキングへの深刻な影響や、パンくずリストが使用されている全てのサイトページに悪意あるコンテンツが表示される可能性がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dd072774-6f85-42de-a9d4-6826703ad839 |
プラグイン: Advanced Custom Fields (ACF®)
| 対象製品 | Advanced Custom Fields (ACF®) |
| 対象バージョン | 6.8.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、フォーム送信リクエストの '_post_title' および '_post_content' パラメータに値を挿入することで、公開されている 'acf_form()' インスタンスに紐付いた任意の投稿の 'post_title' および 'post_content' を上書きすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ddb2290d-d4bd-4f70-9fe9-927f49721811 |
プラグイン: ElementsKit Elementor Addons
| 対象製品 | ElementsKit Elementor Addons |
| 対象バージョン | 3.9.6までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/fa8a1e98-8e5b-49d3-8378-f7b5be92f205 |
総括
この期間内に報告された脆弱性21件のうち、13件は認証されていない攻撃者に影響を受ける脆弱性で、8件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
深刻度が高い脆弱性のうち特に注目すべきは、いずれも CVSS 9.8 の Kirki と Advanced Custom Fields: Extended における権限昇格の問題です。Kirki はパスワードリセットフローの欠陥により認証なしで任意ユーザーのアカウントを乗っ取ることができます。Advanced Custom Fields: Extended はバリデーション回避によって認証なしで管理者アカウントを新規作成できる問題で、公開されたACFEフロントエンドフォームが存在するサイトでは直ちに悪用される可能性があります。WooCommerce PayPal Payments(CVSS 8.2)では認証なしで他の顧客の注文支払いフローを操作できる問題が含まれており、EC サイトへの影響が懸念されます。Post SMTP・Favicon by RealFaviconGenerator・WP Statistics の蓄積型 XSS(いずれも CVSS 7.2)は認証不要で悪用可能です。
他の脆弱性では、Rank Math SEO における認証なしでのプラグイン設定変更がSEOランキングや全サイトページの表示に影響しうる点、Advanced Custom Fields(ACF®)における投稿タイトル・本文の上書きが認証不要で行える点が注目されます。また ACF・ElementsKit Elementor Addons はそれぞれ2件の脆弱性が報告されており、同一プラグインに複数の問題が存在することに注意が必要です。Photo Gallery by 10Web の SQLインジェクションはデータベース内の機密情報取得につながるおそれがあります。
全体として、権限昇格・不正アクセス・蓄積型 XSS の3種類が脆弱性の大半を占めています。特に管理者アカウント作成につながる Advanced Custom Fields: Extended と Kirki は緊急対応が必要です。該当プラグインは速やかに修正バージョンへ更新し、管理者権限アカウントの棚卸し、フロントエンドフォームの公開設定、および XML-RPC・REST API のアクセス制限についても合わせて確認することが重要です。