WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/06/18-2026/06/24 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 4件
プラグイン: Ultimate Member
| 対象製品 | Ultimate Member |
| 対象バージョン | 2.11.4までの全てのバージョン |
| 修正バージョン | 2.12.0 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 2.11.4までの全てのバージョンにおいて、認可不備によるアカウント乗っ取りの脆弱性が存在する。これは 'get_directory_by_hash()' のMD5ハッシュフォールバック、'post_data()' の不正な 'strstr()' パース処理、'build_user_card_data()' でのフィールド名検証の欠如により、'password_reset_link' などの任意のフィールドが処理されることが原因である。寄稿者以上の権限を持つユーザーで認証済みの場合に、XML-RPCで細工されたメタフィールドを含む悪意ある投稿を作成し、管理者を含む全ユーザーのパスワードリセットURLを抽出することが可能となる。悪用にはXML-RPCが有効である必要がある。 |
| 対応方法 | 2.12.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-7761 |
| 公開日 | 2026-06-23 00:00:00 (2026-06-24 06:49:41更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9aff7b03-4f03-434c-be87-b10ceeb4e625 |
プラグイン: Pods
| 対象製品 | Pods |
| 対象バージョン | 3.3.8までの全てのバージョン |
| 修正バージョン | 3.3.9 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 3.3.8までの全てのバージョンにおいて、入力サニタイズおよび出力エスケープの不備により、蓄積型クロスサイトスクリプティングの脆弱性が存在する。認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 対応方法 | 3.3.9以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-54191 |
| 公開日 | 2026-06-15 00:00:00 (2026-06-23 15:45:19更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a57d218c-0aee-4764-9496-065e71448a9b |
プラグイン: WP Activity Log
| 対象製品 | WP Activity Log |
| 対象バージョン | 5.6.3.1までの全てのバージョン |
| 修正バージョン | 5.6.4 |
| CVSS | 高 (8.1) |
| 脆弱性概要 | 5.6.3.1までの全てのバージョンにおいて、信頼できないデータの逆シリアライズによるPHPオブジェクトインジェクションの脆弱性が存在する。認証されていない攻撃者が、PHPオブジェクトを注入することが可能となる。既知のPOPチェーンは存在しないものの、他のプラグインやテーマにPOPチェーンが存在する場合には、任意ファイルの削除・機密データの取得・コード実行につながる可能性がある。 |
| 対応方法 | 5.6.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-54806 |
| 公開日 | 2026-06-16 00:00:00 (2026-06-23 15:58:14更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/cb7f78b8-670f-4a23-9498-6fa570833642 |
プラグイン: All-In-One Security (AIOS)
| 対象製品 | All-In-One Security (AIOS) |
| 対象バージョン | 5.4.7までの全てのバージョン |
| 修正バージョン | 5.4.8 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 5.4.7までの全てのバージョンにおいて、蓄積型クロスサイトスクリプティングの脆弱性が存在する。これは 'get_rest_route()' 関数での入力サニタイズが不十分で、'column_default()' メソッドで出力エスケープが欠落しており、'urldecode($_SERVER['REQUEST_URI'])' で取得したURLエンコード値がサニタイズされずにデバッグログへ保存されることが原因である。認証されていない攻撃者が、管理者がデバッグログページを表示した際にスクリプトを実行させ、nonceの盗聴や権限を要するAJAX/REST操作を通じてサイト全体を侵害することが可能となる。悪用には「非ログインユーザーのREST API利用を無効化」と「デバッグログ有効」の両機能が同時に有効である必要がある。 |
| 対応方法 | 5.4.8以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-8438 |
| 公開日 | 2026-06-05 11:51:22 (2026-06-18 20:24:02更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d2b7ed73-a654-40ef-8d80-6171393da8e7 |
他の脆弱性: 8件
プラグイン: Advanced Order Export For WooCommerce
| 対象製品 | Advanced Order Export For WooCommerce |
| 対象バージョン | 4.0.10までの全てのバージョン |
| 脆弱性概要 | Shop Manager以上の権限を持つユーザーで認証済みの場合に、'sort_direction' パラメータを通じて既存のクエリに追加のSQLクエリを挿入し、データベースから機密情報を取得することが可能となる。ただし悪用には有効な 'woe_nonce' とショップマネージャー権限が必要である。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0b395777-2e2a-4dc3-9b0c-ce4c9d22d7e9 |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.11までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、'data' パラメータを通じて既存のクエリに追加のSQLクエリを挿入し、データベースから機密情報を取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1e193bb9-bb16-4a77-877b-fa0ab29a6c74 |
プラグイン: ElementsKit Elementor Addons
| 対象製品 | ElementsKit Elementor Addons |
| 対象バージョン | 3.9.6までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6f1345b0-a43e-475f-9d19-78600f17b8e6 |
プラグイン: WP Activity Log
| 対象製品 | WP Activity Log |
| 対象バージョン | 5.6.3.1までの全てのバージョン |
| 脆弱性概要 | 購読者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/796c37bb-0ff2-4f13-b752-71319adcbc61 |
プラグイン: Optimole
| 対象製品 | Optimole |
| 対象バージョン | 4.2.6までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、メディアファイルの編集権限を持つ投稿者以上の権限のユーザーにリンクのクリックなどの操作を行わせることで、'replace_file' 関数を通じて細工されたマルチパートPOSTリクエストを送信し、被害者が編集可能な既存のメディア添付ファイルを攻撃者が用意したコンテンツで上書きすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8a90de6e-6bd5-43b6-980d-84d25d4120ad |
プラグイン: DearFlip
| 対象製品 | DearFlip |
| 対象バージョン | 2.4.29までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b3146b41-27d5-465d-a9ec-af4c50a0d612 |
プラグイン: WP Go Maps
| 対象製品 | WP Go Maps |
| 対象バージョン | 10.1.01までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、'phpClass' パラメータでWPGMZA名前空間のクラスを指定することにより、プラグインのデータベーステーブルにマップ・マーカー・円・ポリゴン・ポリライン・四角形・ポイントラベルなどの任意のレコードを作成することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c51c6cfb-9a79-4190-87ff-7eddb866ae56 |
プラグイン: ElementsKit Elementor Addons
| 対象製品 | ElementsKit Elementor Addons |
| 対象バージョン | 3.9.6までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、不正なアクションを実行することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/fa8a1e98-8e5b-49d3-8378-f7b5be92f205 |
総括
この期間内に報告された脆弱性12件のうち、6件は認証されていない攻撃者に影響を受ける脆弱性で、6件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
深刻度が高い脆弱性のうち最も評価が高いのは Ultimate Member(CVSS 8.8)です。寄稿者以上の権限を持つユーザーがXML-RPCを通じて細工した投稿を作成することで、管理者を含む全ユーザーのパスワードリセットURLを抽出し、アカウントを乗っ取ることが可能です。WP Activity Log(CVSS 8.1)は認証不要のPHPオブジェクトインジェクションで、既知のPOPチェーンはないものの他のプラグインやテーマにチェーンが存在すればコード実行や任意ファイル削除につながる可能性があります。Pods と All-In-One Security(いずれも CVSS 7.2)は認証不要の蓄積型XSSで、特に AIOS は管理者がデバッグログページを表示した際にスクリプトが実行され、サイト全体の侵害につながる点に注意が必要です。
他の脆弱性では、認証なしでプラグインのデータベーステーブルに任意レコードを作成できる WP Go Maps の認可バイパスや、投稿者を操作に誘導してメディアファイルを上書きできる Optimole のCSRFが注目されます。また Tutor LMS と Advanced Order Export For WooCommerce のSQLインジェクションは、管理者やショップマネージャーといった高めの権限を前提とするものの、データベースの機密情報取得につながります。ElementsKit Elementor Addons は2件、WP Activity Log は深刻度が高い脆弱性と合わせて2件報告されており、同一プラグインに複数の問題が存在する点に注意が必要です。
全体として、認可不備によるアカウント乗っ取りやオブジェクトインジェクション、SQLインジェクション、蓄積型XSS、権限チェック漏れによる不正アクセスが中心となっています。特に認証なしで悪用が成立しうる Ultimate Member のアカウント乗っ取りと WP Activity Log のオブジェクトインジェクションは優先的な対応が必要です。該当プラグインは速やかに修正バージョンへ更新し、あわせてXML-RPCの利用状況、REST API とデバッグログの設定、管理者・ショップマネージャー権限アカウントの棚卸し、不要な投稿権限の付与状況を確認することが重要です。
