WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2026/06/25-2026/07/01 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 6件
プラグイン: Advanced Ads – Ad Manager & AdSense
| 対象製品 | Advanced Ads – Ad Manager & AdSense |
| 対象バージョン | 2.0.21までの全てのバージョン |
| 修正バージョン | 2.0.22 |
| CVSS | 高 (8.3) |
| 脆弱性概要 | 2.0.21までの全てのバージョンにおいて、外部入力が適切にサニタイズされないことにより、特殊文字を用いて意図しないコードが実行されるコードインジェクションの脆弱性が存在する。寄稿者以上の権限を持つユーザーで認証済みの場合に、サーバー上で任意のコードを実行することが可能となる。 |
| 対応方法 | 2.0.22以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-54816 |
| 公開日 | 2026-06-17 00:00:00 (2026-06-25 14:15:06更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5017c81f-91ee-421b-96db-c96eae56d032 |
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.53.1までの全てのバージョン |
| 修正バージョン | 1.53.2 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 1.53.1までの全てのバージョンにおいて、入力サニタイズおよび出力エスケープの不備により、蓄積型クロスサイトスクリプティングの脆弱性が存在する。認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 対応方法 | 1.53.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-56071 |
| 公開日 | 2026-06-24 00:00:00 (2026-06-29 19:06:07更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/504aff5b-5951-4d07-9ff0-e6f7cfe5dc32 |
プラグイン: Post Duplicator
| 対象製品 | Post Duplicator |
| 対象バージョン | 3.0.15までの全てのバージョン |
| 修正バージョン | 3.0.15 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 3.0.15までの全てのバージョンにおいて、信頼できないデータの逆シリアライズによるPHPオブジェクトインジェクションの脆弱性が存在する。寄稿者以上の権限を持つユーザーで認証済みの場合に、PHPオブジェクトを注入することが可能となる。他のプラグインやテーマにPOPチェーンが存在する場合には、任意ファイルの削除・機密データの取得・コード実行につながる可能性がある。 |
| 対応方法 | 3.0.15以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-10749 |
| 公開日 | 2026-06-25 00:00:00 (2026-06-29 19:02:01更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6afd5a43-a835-4251-b7b2-a787582c9e71 |
プラグイン: Responsive Lightbox & Gallery
| 対象製品 | Responsive Lightbox & Gallery |
| 対象バージョン | 2.7.6までの全てのバージョン |
| 修正バージョン | 2.7.7 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 2.7.6までの全てのバージョンにおいて、入力サニタイズおよび出力エスケープの不備により、蓄積型クロスサイトスクリプティングの脆弱性が存在する。認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。 |
| 対応方法 | 2.7.7以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-56041 |
| 公開日 | 2026-06-24 00:00:00 (2026-06-29 19:05:24更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8b9fe020-1bec-4891-b2c5-a0a8f6349f0f |
プラグイン: LatePoint
| 対象製品 | LatePoint |
| 対象バージョン | 5.6.3までの全てのバージョン |
| 修正バージョン | 5.6.4 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 5.6.3までの全てのバージョンにおいて、権限昇格の脆弱性が存在する。これは 'OsOrdersController' の 'create_or_update()' でIDORが発生し、任意の 'customer_id' でメールアドレスを上書きでき、'OsAuthHelper' の 'authorize_customer()' でロール検証が欠落していることが原因である。エージェント(カスタムロール)以上の権限を持つユーザーで認証済みの場合に、権限を管理者レベルまで昇格させることが可能となる。 |
| 対応方法 | 5.6.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-13228 |
| 公開日 | 2026-06-30 21:30:37 (2026-07-01 09:32:28更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8f9db3b8-dd37-4d8b-b041-50b453858a39 |
プラグイン: Ninja Forms
| 対象製品 | Ninja Forms |
| 対象バージョン | 3.14.1までの全てのバージョン |
| 修正バージョン | 3.14.2 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 3.14.1までの全てのバージョンにおいて、RESTエンドポイント 'ninja-forms-views/token/refresh' に認可チェックが欠落していることにより、認可不備の脆弱性が存在する。認証されていない攻撃者が、機密情報を含むフォーム送信データを閲覧することが可能となる。 |
| 対応方法 | 3.14.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-1239 |
| 公開日 | 2026-06-30 17:19:54 (2026-07-01 05:35:30更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/973ebafc-85c0-4cc5-b307-2fdb0a4a7577 |
他の脆弱性: 13件
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.16.0までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、'givewp_campaign_comments' ショートコードの 'block_id' 属性を通じて、'esc_attr()' が適用されずシングルクォートで囲まれたHTML属性へ直接挿入されるblockId値を悪用し、ページへ任意のスクリプトを挿入して、そのページにアクセスしたユーザーの環境で実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/08f8f489-6b31-45d8-a122-bbaa283a2b10 |
プラグイン: LatePoint
| 対象製品 | LatePoint |
| 対象バージョン | 5.6.2までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、認証なしで公開アクセス可能な 'steps__load_step' の 'params[booking][service_id]' および 'steps__start' の 'presets[selected_service]' パラメータのユーザー制御キーの検証欠落を通じて、管理者・エージェント専用に制限されたサービスに対して承認済みの予約を作成し、制限されたサービスの予約枠を消費して不正な予約をトリガーすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/09588c2a-1631-4924-8277-d47f096493c5 |
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.15.3までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、サイト管理者にリンクのクリックなどの操作を行わせることで、'give_set_notification_status_handler()' 関数のnonce検証欠落を悪用した偽造リクエストを通じて、寄付メール通知を無効化することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/49954c72-df0d-46ec-a252-8af84dea41bf |
プラグイン: WP All Import
| 対象製品 | WP All Import |
| 対象バージョン | 4.0.1までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、ユーザー供給パラメータのエスケープ不足とSQLクエリの準備不足を通じて、既存のクエリに追加のSQLクエリを挿入し、データベースから機密情報を取得することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/55e5b3e2-0a8c-4628-835e-249c9362a238 |
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.13までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、レッスン添付ファイルのタイトルを通じてページへ任意のスクリプトを挿入し、そのページにアクセスしたユーザーの環境で実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7483762c-5356-4844-90a9-511d9ec48625 |
プラグイン: Page Builder by SiteOrigin
| 対象製品 | Page Builder by SiteOrigin |
| 対象バージョン | 2.34.3までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、'panels_data' パラメータを通じて、投稿メタには 'wp_kses_post' が適用されず 'WP_Widget_Custom_HTML' のコンテンツがサニタイズされずにレンダリングされることを悪用し、ページへ任意のスクリプトを挿入してフロントエンドで実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7830b3dc-7d20-4516-b4d6-57636ca773e9 |
プラグイン: Kirki
| 対象製品 | Kirki |
| 対象バージョン | 6.0.11までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、'get_single_symbol' 機能に連番のWordPress投稿IDを与えることで検証なしにメタデータを取得し、未公開の下書きを含む 'kirki_symbol' 投稿の完全なビルダーメタデータとレンダリング済みHTMLを抽出することが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8b5db7fa-2e72-4719-b85e-cc31778c2274 |
プラグイン: Advanced Order Export For WooCommerce
| 対象製品 | Advanced Order Export For WooCommerce |
| 対象バージョン | 4.0.9までの全てのバージョン |
| 脆弱性概要 | カスタマー以上の権限を持つユーザーで認証済みの場合に、ページへ任意のスクリプトを挿入し、そのページにアクセスしたユーザーの環境で実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8fef8676-8bf7-495f-a134-497756f329f2 |
プラグイン: Kirki
| 対象製品 | Kirki |
| 対象バージョン | 6.0.11までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザー認可確認の不備を通じて、'emailSubject' に 'sanitize_text_field()' のみが適用されエスケープされないemailBody内容と、本物のWordPressのパスワードリセットリンクを含みうる 'chip' 項目を悪用し、任意の登録ユーザーへHTMLを注入したメールを送信することが可能となる。これによりパスワードリセットURLを含むフィッシングメールの送信や、サイトのメールサーバーのSPF/DKIM評価の悪用につながる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/af01964f-018d-4d19-8627-8889877db105 |
プラグイン: TablePress
| 対象製品 | TablePress |
| 対象バージョン | 3.3.1までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザーにリンクのクリックなどの操作を行わせることで、ページへ任意のスクリプトを挿入し、そのページにアクセスしたユーザーの環境で実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c30aeafe-725b-47be-b49d-00f58b474c3a |
プラグイン: WPForms
| 対象製品 | WPForms |
| 対象バージョン | 1.10.2までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、'get_reply_to_address()' がReply-To表示名を 'notification-reply-to' ではなく 'notification' コンテキストでスマートタグ展開し、'wpforms_sanitize_textarea_field()' がCR/LF文字を保持したまま表示名が生のReply-Toヘッダー文字列に連結されることを悪用し、Bccなどの任意のメールヘッダーを注入して、全ての通知メールのコピーを攻撃者が管理するアドレスへ密かにブラインドコピーすることが可能となる。ただし悪用にはフォーム通知がSmartTag経由でParagraph Text(textarea)フィールドをReply-To表示名として設定している必要がある。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d5a51c22-c4ca-4897-ad7e-c5df00b07fe0 |
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.60までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、'no_data_msg' ショートコード属性を通じて、'wp_kses_post' がHTMLトークンのみを除去しC言語スタイルのエスケープシーケンスが中立化されないことを悪用し、レンダリング時に生のスクリプトタグへ再構築されるペイロードでページへ任意のスクリプトを挿入し、そのページにアクセスしたユーザーの環境で実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ebf96aa9-2ee7-4411-8f43-3e8d023197bd |
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.16.1までの全てのバージョン |
| 脆弱性概要 | Give Worker以上の権限を持つユーザーで認証済みの場合に、'sequoia[introduction][image]' パラメータを通じてページへ任意のスクリプトを挿入し、そのページにアクセスしたユーザーの環境で実行させることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ee18552b-2814-4598-9b7b-7c919d6d644e |
総括
この期間内に報告された脆弱性19件のうち、9件は認証されていない攻撃者に影響を受ける脆弱性で、10件は少なくとも購読者相当以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
深刻度が高い脆弱性のうち最も評価が高いのは LatePoint(CVSS 8.8)です。'create_or_update()' のIDORによって任意ユーザーのメールアドレスを上書きでき、ロール検証の欠落と組み合わせることで、エージェント権限を持つユーザーが管理者レベルまで権限を昇格できます。Advanced Ads(CVSS 8.3)は寄稿者以上の権限でサーバー上の任意コード実行につながるコードインジェクションです。Post Duplicator(CVSS 7.5)は寄稿者以上の権限でのPHPオブジェクトインジェクションで、他のプラグインやテーマにPOPチェーンが存在すればコード実行につながる可能性があります。Ninja Forms(CVSS 7.5)はREST エンドポイントの認可チェック欠落により、認証なしで機密情報を含むフォーム送信データが閲覧されます。Forminator Forms・Responsive Lightbox & Gallery(いずれも CVSS 7.2)は認証不要の蓄積型XSSです。
他の脆弱性では、認証なしで制限サービスの予約を作成できる LatePoint のIDOR、未公開の下書きを含むメタデータを抽出できる Kirki の情報漏洩、フィッシングメールの送信につながる Kirki の認可バイパス、通知メールを攻撃者へブラインドコピーできる WPForms のCRLFインジェクションが注目されます。また GiveWP は3件、Kirki と LatePoint はそれぞれ深刻度が高い脆弱性と合わせて複数件が報告されており、同一プラグインに複数の問題が存在する点に注意が必要です。
全体として、権限昇格・コードインジェクション・オブジェクトインジェクション・認可不備・蓄積型XSSが中心となっています。特に管理者への権限昇格が可能な LatePoint と、認証なしでコード実行や情報漏洩につながりうる各脆弱性は優先的な対応が必要です。該当プラグインは速やかに修正バージョンへ更新し、あわせて予約・寄付・フォーム関連プラグインの権限設定、REST API の認可、メール通知(Reply-To・SMTP)の設定、管理者・エージェント権限アカウントの棚卸し、不要な投稿権限の付与状況を確認することが重要です。