WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/06/04-2026/06/10 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 9件
プラグイン: Admin Columns
| 対象製品 | Admin Columns |
| 対象バージョン | 7.0.18までの全てのバージョン |
| 修正バージョン | 7.0.19 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 7.0.18までの全てのバージョンにおいて、PHPオブジェクトインジェクションの脆弱性が存在する。これは 'IdsToCollection::get_ids_from_string()' 関数が制限なしに 'unserialize()' を使用し、カスタムメタフィールドの入力検証が不十分であることが原因である。寄稿者以上の権限を持つユーザーで認証済みの場合に、シリアライズされたPHPオブジェクトを投稿メタに注入し、POPガジェットチェーンを悪用してリモートコード実行を行うことが可能となる。悪用には利用可能なPOPガジェットチェーンが存在する必要がある。 |
| 対応方法 | 7.0.19以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-7654 |
| 公開日 | 2026-06-05 00:00:00 (2026-06-05 22:28:07更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/051a3967-ef86-49bc-b72c-23e43568fef6 |
プラグイン: MW WP Form
| 対象製品 | MW WP Form |
| 対象バージョン | 5.1.3までの全てのバージョン |
| 修正バージョン | 5.1.4 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 5.1.3までの全てのバージョンにおいて、入力サニタイズおよび出力エスケープの不備により、蓄積型クロスサイトスクリプティングの脆弱性が存在する。認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 対応方法 | 5.1.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-48871 |
| 公開日 | 2026-06-01 00:00:00 (2026-06-08 14:52:46更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2783f62a-3b9a-45e1-8e90-121732dc17ec |
プラグイン: Advanced Google reCAPTCHA
| 対象製品 | Advanced Google reCAPTCHA |
| 対象バージョン | 5.38までの全てのバージョン |
| 修正バージョン | 5.39 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 5.38までの全てのバージョンにおいて、認証回避の脆弱性が存在する。これは 'ajax_run_tool()' AJAXハンドラーが権限確認を行わずnonceチェックのみで、'create_temporary_link' ツールがパスワード不要のログインリンクを生成でき、'handle_temporary_links()' に追加の認可検証がないことが原因である。購読者以上の権限を持つユーザーで認証済みの場合に、管理者を含む任意のユーザーとしてログインし、アカウントを完全に乗っ取ることが可能となる。悪用にはウェルカムポインターが未却下の状態でnonceが露出している必要がある。 |
| 対応方法 | 5.39以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-5415 |
| 公開日 | 2026-06-05 05:58:19 (2026-06-05 18:31:11更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8731565f-4d8a-49e6-9c38-6d4f5e51d68c |
プラグイン: Advanced Google reCAPTCHA
| 対象製品 | Advanced Google reCAPTCHA |
| 対象バージョン | 5.38までの全てのバージョン |
| 修正バージョン | 5.39 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 5.38までの全てのバージョンにおいて、任意ファイルアップロードの脆弱性が存在する。これは 'save_ajax()' の権限チェックが不十分で、'sync_cloud_protection()' がファイル型を検証せずにファイルを抽出・展開することが原因である。購読者以上の権限を持つユーザーで認証済みの場合に、PHPシェルを含む任意のファイルをアップロード・実行し、リモートコード実行を行うことが可能となる。リモートURLの悪用にはPHP設定で 'allow_url_fopen' が有効である必要がある。 |
| 対応方法 | 5.39以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-5411 |
| 公開日 | 2026-06-05 05:58:17 (2026-06-05 18:31:12更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/92652339-ec86-4069-aeee-91c314ed2540 |
プラグイン: Email Address Encoder
| 対象製品 | Email Address Encoder |
| 対象バージョン | 1.0.25までの全てのバージョン (Email Address Encoder) 0.3.12までの全てのバージョン (email-encoder-premium) |
| 修正バージョン | 1.0.25 (Email Address Encoder) 0.3.12 (email-encoder-premium) |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 1.0.25まで(email-encoder-premium は 0.3.12まで)の全てのバージョンにおいて、入力サニタイズおよび出力エスケープの不備により、蓄積型クロスサイトスクリプティングの脆弱性が存在する。認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 対応方法 | 1.0.25以降にアップデートする (Email Address Encoder) 0.3.12以降にアップデートする (email-encoder-premium) |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-5305 |
| 公開日 | 2026-06-04 00:00:00 (2026-06-09 16:10:35更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c548a6dc-7c6d-4837-9417-dabb3fc8f0f6 |
プラグイン: All-In-One Security (AIOS)
| 対象製品 | All-In-One Security (AIOS) |
| 対象バージョン | 5.4.7までの全てのバージョン |
| 修正バージョン | 5.4.8 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 5.4.7までの全てのバージョンにおいて、蓄積型クロスサイトスクリプティングの脆弱性が存在する。これは 'get_rest_route()' でのサニタイズが不十分で、デバッグログの 'column_default()' でエスケープが欠落しており、REST APIフィルタ有効時にURLエンコードされたペイロードが復号され未処理のまま保存されることが原因である。認証されていない攻撃者が、RESTリクエストパスに悪意あるHTML/JavaScriptを埋め込み、管理者がログを表示した際にnonceの盗聴やAJAX/RESTの悪用を通じてサイトを侵害することが可能となる。悪用には「非ログインユーザーのREST API無効」と「デバッグログ有効」の両方の設定が必要である。 |
| 対応方法 | 5.4.8以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-8438 |
| 公開日 | 2026-06-05 11:51:22 (2026-06-06 01:26:10更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d2b7ed73-a654-40ef-8d80-6171393da8e7 |
プラグイン: UpdraftPlus: WP Backup & Migration Plugin
| 対象製品 | UpdraftPlus: WP Backup & Migration Plugin |
| 対象バージョン | 1.26.4までの全てのバージョン |
| 修正バージョン | 1.26.5 |
| CVSS | 高 (8.1) |
| 脆弱性概要 | 1.26.4までの全てのバージョンにおいて、認証回避の脆弱性が存在する。これは 'UpdraftPlus_Remote_Communications_V2::wp_loaded' での署名検証が不十分で、復号エラー時に予測可能な全ゼロの暗号化キーが使用されることが原因である。認証されていない攻撃者が、管理者権限で任意のRPCコマンドを実行し、悪意あるプラグインをアップロード・有効化してリモートコード実行を行うことが可能となる。 |
| 対応方法 | 1.26.5以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-10795 |
| 公開日 | 2026-06-10 16:41:29 (2026-06-10 16:41:32更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e901c2a0-2477-4b9a-8483-6002419e0a2f |
プラグイン: LatePoint
| 対象製品 | LatePoint |
| 対象バージョン | 5.5.1までの全てのバージョン |
| 修正バージョン | 5.5.2 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 5.5.1までの全てのバージョンにおいて、権限昇格の脆弱性が存在する。これは権限昇格機構の実装に不備があることが原因である。寄稿者以上の権限を持つユーザーで認証済みの場合に、権限を管理者レベルまで昇格させることが可能となる。 |
| 対応方法 | 5.5.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-49083 |
| 公開日 | 2026-06-05 00:00:00 (2026-06-10 17:42:53更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ef818472-d4ba-4ca9-b7ed-fe563107c3bd |
テーマ: Blocksy
| 対象製品 | Blocksy |
| 対象バージョン | 2.1.41までの全てのバージョン |
| 修正バージョン | 2.1.42 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 2.1.41までの全てのバージョンにおいて、PHPオブジェクトインジェクションの脆弱性が存在する。これはREST APIの 'blocksy_meta' フィールドおよびV200データベースマイグレーションにおいて 'blocksy_sanitize_post_meta_options()' がシリアライズされたオブジェクト文字列を十分にブロックせず、'SearchReplacer::run_recursively()' がクラス制限なしに '@unserialize()' を実行することが原因である。寄稿者以上の権限を持つユーザーで認証済みの場合に、Blocksyの 'RaiiPattern' オブジェクトを注入し、マイグレーション時に 'RaiiPattern::__destruct()' から任意のPHP callableを実行することが可能となる。悪用はV200マイグレーション実行時にのみ可能である。 |
| 対応方法 | 2.1.42以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-8365 |
| 公開日 | 2026-06-08 20:11:29 (2026-06-09 08:29:40更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/fd216743-ce8d-4632-9fd1-d63502c2dfcd |
他の脆弱性: 18件
プラグイン: Smart Slider 3
| 対象製品 | Smart Slider 3 |
| 対象バージョン | 3.5.1.36までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、サーバー上の任意のファイルの内容を読み取ることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/059c2d6d-1296-4463-96ae-a95ba7dad70a |
プラグイン: Ad Inserter
| 対象製品 | Ad Inserter |
| 対象バージョン | 2.8.15までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。ただし悪用にはデフォルトでは無効なiframeモードが有効である必要がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0d40c05d-dc30-47b1-aea5-cd2b72d4c4c0 |
プラグイン: MW WP Form
| 対象製品 | MW WP Form |
| 対象バージョン | 5.1.3までの全てのバージョン |
| 脆弱性概要 | 編集者以上の権限を持つユーザーで認証済みの場合に、'memo' パラメータを通じてページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2a6dfdec-c1c6-4300-ab0a-9fd1c550d09f |
プラグイン: WPvivid — Backup, Migration & Staging
| 対象製品 | WPvivid — Backup, Migration & Staging |
| 対象バージョン | 0.9.128までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、サーバー上の任意のフォルダを削除し、データ損失を引き起こすことが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2f5962e5-3dc7-4f93-889c-d5e3530c7dba |
プラグイン: Photo Gallery by 10Web
| 対象製品 | Photo Gallery by 10Web |
| 対象バージョン | 1.8.41までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、既存のクエリに追加のSQLクエリを挿入してデータベースから機密情報を取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4a82c911-71aa-4f6c-8088-7b839e027a6a |
プラグイン: Elementor Website Builder
| 対象製品 | Elementor Website Builder |
| 対象バージョン | 4.1.0までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5bd9ae0d-aa3a-4fb3-93b8-0e25bd01e162 |
プラグイン: Adminimize
| 対象製品 | Adminimize |
| 対象バージョン | 1.11.11までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/63ddf445-7b48-48f3-b097-bd7991216c3f |
プラグイン: ElementsKit Elementor Addons
| 対象製品 | ElementsKit Elementor Addons |
| 対象バージョン | 3.9.6までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6f1345b0-a43e-475f-9d19-78600f17b8e6 |
プラグイン: Rank Math SEO
| 対象製品 | Rank Math SEO |
| 対象バージョン | 1.0.271までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9d7838c8-938f-487a-9120-4cb13f0e6f6b |
プラグイン: DearFlip
| 対象製品 | DearFlip |
| 対象バージョン | 2.4.29までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b3146b41-27d5-465d-a9ec-af4c50a0d612 |
プラグイン: Easy Updates Manager
| 対象製品 | Easy Updates Manager |
| 対象バージョン | 9.0.20までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、管理者にリンクのクリックなどの操作を行わせることで、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/bbbd989c-4d69-45c9-bcb9-44f9ab98b969 |
プラグイン: Enable Media Replace
| 対象製品 | Enable Media Replace |
| 対象バージョン | 4.1.8までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、'location_dir' パラメータを通じてページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c6e8a78b-01ad-47b2-84e6-4f6ff78c02b6 |
プラグイン: LatePoint
| 対象製品 | LatePoint |
| 対象バージョン | 5.6.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、管理者にリンクのクリックなどの操作を行わせることで、偽造リクエストによって請求書のステータスを変更し、未払いを支払済みと表示させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c720fffe-c089-450a-ac5f-1138c1c223d9 |
プラグイン: Photo Gallery by 10Web
| 対象製品 | Photo Gallery by 10Web |
| 対象バージョン | 1.8.41までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、'compact_album_order_by' ショートコードパラメータを通じて既存のクエリに追加のSQLクエリを挿入し、データベースから機密情報を取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/cae7dabd-ce43-43e3-9f67-b2de55bd720b |
プラグイン: WPForms
| 対象製品 | WPForms |
| 対象バージョン | 1.10.0.4までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、PayPalウェブフックを偽造し、購読の支払い記録を改ざんすることが可能となる。ただし悪用には有効なPayPalの 'subscription_id' を把握している必要がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d5cf5fd2-58c7-42d0-948f-95764647630b |
プラグイン: WP Go Maps
| 対象製品 | WP Go Maps |
| 対象バージョン | 10.0.09までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、非公開のマーカーレコード(タイトル・カテゴリ・住所・説明)を抽出することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/de64e79f-0284-4d23-a18b-64554f2b188e |
プラグイン: Really Simple Security
| 対象製品 | Really Simple Security |
| 対象バージョン | 9.5.9までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f5c122a5-20d0-450f-aec6-fc7cfc9cc6dc |
プラグイン: ElementsKit Elementor Addons
| 対象製品 | ElementsKit Elementor Addons |
| 対象バージョン | 3.9.6までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、不正なアクションを実行することが可能となる。 (※上記とは別の脆弱性) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/fa8a1e98-8e5b-49d3-8378-f7b5be92f205 |
総括
この期間内に報告された脆弱性27件のうち、10件は認証されていない攻撃者に影響を受ける脆弱性で、17件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
深刻度が高い脆弱性のうち特に注意すべきは、認証不要で悪用できる UpdraftPlus(CVSS 8.1)です。署名検証の不備により、認証されていない攻撃者が管理者権限で任意のRPCコマンドを実行し、悪意あるプラグインの導入を経てリモートコード実行に至る可能性があります。Advanced Google reCAPTCHA(いずれも CVSS 8.8)では、購読者権限から任意ユーザーへのログインによるアカウント乗っ取りと、PHPシェルのアップロードによるリモートコード実行という2件の脆弱性が報告されています。Admin Columns と Blocksy(いずれも CVSS 8.8)は寄稿者以上の権限でPHPオブジェクトインジェクションを通じたコード実行が可能で、LatePoint(CVSS 8.8)では寄稿者が管理者レベルまで権限を昇格できます。MW WP Form・Email Address Encoder・All-In-One Security(いずれも CVSS 7.2)は認証不要の蓄積型XSSです。
他の脆弱性では、認証なしで非公開マーカー情報が漏洩する WP Go Maps、PayPalウェブフックの偽造により支払い記録を改ざんできる WPForms、未払い請求を支払済みと誤認させられる LatePoint の問題が注目されます。また Smart Slider 3 の任意ファイル読み取りや WPvivid の任意フォルダ削除は、管理者権限を前提とするものの、侵害時の被害が大きい問題です。Photo Gallery by 10Web・ElementsKit Elementor Addons・MW WP Form・LatePoint はいずれも複数の脆弱性が報告されており、同一プラグインに複数の問題が存在する点に注意が必要です。
全体として、PHPオブジェクトインジェクションや認証回避を通じたリモートコード実行、権限昇格、蓄積型XSS、権限チェック漏れによる不正アクセスが中心となっています。特に認証不要でコード実行につながる UpdraftPlus と、アカウント乗っ取り・RCEが可能な Advanced Google reCAPTCHA は緊急対応が必要です。該当プラグイン・テーマは速やかに修正バージョンへ更新し、あわせて管理者権限アカウントの棚卸し、REST API とデバッグログの設定、外部決済連携(PayPal)の検証設定、不要な投稿権限の付与状況を確認することが重要です。
