WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/06/11-2026/06/17 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 5件
プラグイン: CleanTalk Anti-Spam. Spam Firewall & Bot protection
| 対象製品 | CleanTalk Anti-Spam. Spam Firewall & Bot protection |
| 対象バージョン | 6.79までの全てのバージョン |
| 修正バージョン | 6.79 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 6.79までの全てのバージョンにおいて、入力サニタイズおよび出力エスケープの不備により、蓄積型クロスサイトスクリプティングの脆弱性が存在する。認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 対応方法 | 6.79以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-8071 |
| 公開日 | 2026-06-11 00:00:00 (2026-06-15 19:35:57更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5339024c-afcc-4fdc-a14b-056068ff2f5b |
プラグイン: LatePoint
| 対象製品 | LatePoint |
| 対象バージョン | 5.5.1までの全てのバージョン |
| 修正バージョン | 5.5.2 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 5.5.1までの全てのバージョンにおいて、3つの独立した欠陥の連鎖による管理者への権限昇格の脆弱性が存在する。これにより管理者向けAPIを呼び出すことなく管理者のパスワードを上書きできる。Agent以上の権限を持つユーザーで認証済みの場合に、権限を管理者レベルまで昇格させることが可能となる。 |
| 対応方法 | 5.5.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-8176 |
| 公開日 | 2026-06-15 20:57:10 (2026-06-16 09:31:35更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b8d5bb6c-2021-4fc0-bede-8da1c3fb591a |
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.15.12から6.16.2までの全てのバージョン |
| 修正バージョン | 6.16.3 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 6.15.12から6.16.2までのバージョンにおいて、ユーザー入力パラメータのエスケープ不足およびSQL文の準備不足により、SQLインジェクションの脆弱性が存在する。認証されていない攻撃者が、既存のクエリに追加のSQLクエリを挿入してデータベースから機密情報を取得することが可能となる。 |
| 対応方法 | 6.16.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-49772 |
| 公開日 | 2026-06-08 00:00:00 (2026-06-15 19:40:09更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c2a3076b-f5dc-4d93-b0a5-7121ba4e529a |
プラグイン: All-In-One Security (AIOS)
| 対象製品 | All-In-One Security (AIOS) |
| 対象バージョン | 5.4.7までの全てのバージョン |
| 修正バージョン | 5.4.8 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 5.4.7までの全てのバージョンにおいて、蓄積型クロスサイトスクリプティングの脆弱性が存在する。これは 'get_rest_route()' 関数でのサニタイズが不十分で、'column_default()' メソッドでエスケープが欠落しており、REST APIとデバッグ機能が両方有効な場合にREQUEST_URIから取得した値がエスケープされずにログへ保存されることが原因である。認証されていない攻撃者が、管理者がログページを閲覧した際にスクリプトを実行させ、nonceの盗取や権限を要するAJAXの実行を通じてサイトを侵害することが可能となる。悪用には両機能が有効化されている必要がある。 |
| 対応方法 | 5.4.8以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-8438 |
| 公開日 | 2026-06-05 11:51:22 (2026-06-18 20:24:02更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d2b7ed73-a654-40ef-8d80-6171393da8e7 |
プラグイン: UpdraftPlus Premium
| 対象製品 | UpdraftPlus Premium |
| 対象バージョン | 1.26.4までの全てのバージョン (UpdraftPlus: WP Backup & Migration Plugin) 2.0から2.26.5までの全てのバージョン (UpdraftPlus Premium) |
| 修正バージョン | 1.26.5 (UpdraftPlus: WP Backup & Migration Plugin) 2.26.5 (UpdraftPlus Premium) |
| CVSS | 高 (8.1) |
| 脆弱性概要 | UpdraftPlus は 1.26.4まで、UpdraftPlus Premium は 2.0から2.26.5までの全てのバージョンにおいて、認証回避の脆弱性が存在する。これは 'UpdraftPlus_Remote_Communications_V2::wp_loaded' 関数での署名検証が回避可能で、復号値の検証不足により予測可能な全ゼロの暗号化キーが生成されることが原因である。認証されていない攻撃者が、任意のRPCを実行し、悪意あるプラグインをアップロード・有効化してリモートコード実行を行うことが可能となる。 |
| 対応方法 | 1.26.5以降にアップデートする (UpdraftPlus: WP Backup & Migration Plugin) 2.26.5以降にアップデートする (UpdraftPlus Premium) |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-10795 |
| 公開日 | 2026-06-10 16:41:29 (2026-06-12 13:29:20更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e901c2a0-2477-4b9a-8483-6002419e0a2f |
他の脆弱性: 11件
プラグイン: Advanced Order Export For WooCommerce
| 対象製品 | Advanced Order Export For WooCommerce |
| 対象バージョン | 4.0.10までの全てのバージョン |
| 脆弱性概要 | Shop Manager以上の権限を持つユーザーで認証済みの場合に、'sort_direction' パラメータを通じて既存のクエリに追加のSQLクエリを挿入し、データベースから機密情報を取得することが可能となる。ただし悪用には 'woe_nonce' が有効であり、'view_woocommerce_reports' または 'export_woocommerce_orders' の権限が必要である。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0b395777-2e2a-4dc3-9b0c-ce4c9d22d7e9 |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.11までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、'data' パラメータを通じて既存のクエリに追加のSQLクエリを挿入し、データベースから機密情報を取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1e193bb9-bb16-4a77-877b-fa0ab29a6c74 |
プラグイン: Permalink Manager Lite
| 対象製品 | Permalink Manager Lite |
| 対象バージョン | 2.5.3.3までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、管理画面のURIエディタ内の投稿タイトル出力を通じて、Permalink Manager管理ページへ任意のウェブスクリプトを挿入することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/221c62a8-09c9-405a-bddf-06638437bd39 |
プラグイン: WP Migrate Lite
| 対象製品 | WP Migrate Lite |
| 対象バージョン | 2.7.8までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、サイト管理者にリンクのクリックなどの操作を行わせることで、偽造リクエストによって不正な操作を実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/313db01b-8ee8-4df1-9a86-0de1bad46921 |
プラグイン: ElementsKit Elementor Addons
| 対象製品 | ElementsKit Elementor Addons |
| 対象バージョン | 3.9.6までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6f1345b0-a43e-475f-9d19-78600f17b8e6 |
プラグイン: Optimole
| 対象製品 | Optimole |
| 対象バージョン | 4.2.6までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、投稿者以上の権限を持つ利用者にリンクのクリックなどの操作を行わせることで、'replace_file' 関数を通じてメディア添付ファイルを改ざんすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8a90de6e-6bd5-43b6-980d-84d25d4120ad |
プラグイン: Feeds for YouTube (YouTube video, channel, and gallery plugin)
| 対象製品 | Feeds for YouTube (YouTube video, channel, and gallery plugin) |
| 対象バージョン | 2.6.4までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a38386f1-5d5c-4ab4-b3b7-60bceb04730d |
プラグイン: WooCommerce Stripe Payment Gateway
| 対象製品 | WooCommerce Stripe Payment Gateway |
| 対象バージョン | 10.7.0までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、'ajax_pay_for_order()' における権限チェックと注文所有権確認の欠如を通じて、保留中の注文を失敗ステータスへ変更することが可能となる。ただし悪用にはExpress Checkoutが有効で、連番の注文IDが列挙可能である必要がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ab3b52f7-e2c3-44f7-8e19-b6c51ccd50e0 |
プラグイン: DearFlip
| 対象製品 | DearFlip |
| 対象バージョン | 2.4.29までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b3146b41-27d5-465d-a9ec-af4c50a0d612 |
プラグイン: Really Simple Security
| 対象製品 | Really Simple Security |
| 対象バージョン | 9.5.10までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/be826d7f-6f8e-4942-81d5-2b00debd56fc |
プラグイン: ElementsKit Elementor Addons
| 対象製品 | ElementsKit Elementor Addons |
| 対象バージョン | 3.9.6までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/fa8a1e98-8e5b-49d3-8378-f7b5be92f205 |
総括
この期間内に報告された脆弱性16件のうち、9件は認証されていない攻撃者に影響を受ける脆弱性で、7件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
深刻度が高い脆弱性のうち最も注意すべきは、認証不要で悪用できる UpdraftPlus(CVSS 8.1)です。署名検証の回避と全ゼロの暗号化キー生成により、認証されていない攻撃者が任意のRPCを実行し、悪意あるプラグインの導入を経てリモートコード実行に至る可能性があります。同じく認証不要の The Events Calendar(CVSS 7.5)のSQLインジェクションはデータベースからの機密情報取得につながり、CleanTalk Anti-Spam と All-In-One Security(いずれも CVSS 7.2)は認証不要の蓄積型XSSです。特に AIOS は、管理者がログページを閲覧した際にスクリプトが実行され、nonceの盗取やサイト侵害につながる点に注意が必要です。LatePoint(CVSS 7.5)は、Agent権限を持つユーザーが3つの欠陥を連鎖させて管理者へ権限を昇格できる問題です。
他の脆弱性では、認証なしで保留中の注文ステータスを変更できる WooCommerce Stripe Payment Gateway や、管理者・投稿者を操作に誘導する WP Migrate Lite・Optimole のCSRFが注目されます。また Tutor LMS と Advanced Order Export For WooCommerce のSQLインジェクションは、管理者やShop Managerといった高めの権限を前提とするものの、データベースの機密情報取得につながります。ElementsKit Elementor Addons は2件の脆弱性が報告されており、同一プラグインに複数の問題が存在する点に注意が必要です。
全体として、認証回避やSQLインジェクションを通じた情報取得・コード実行、権限昇格、蓄積型XSS、権限チェック漏れによる不正アクセスが中心となっています。特に認証不要でリモートコード実行につながる UpdraftPlus は緊急対応が必要です。該当プラグインは速やかに修正バージョンへ更新し、あわせて管理者権限アカウントの棚卸し、REST API とデバッグログの設定、外部決済連携(Stripe・WooCommerce)の権限・所有権チェック、不要な投稿権限の付与状況を確認することが重要です。
