WordPress テーマ・プラグイン 脆弱性情報のまとめ(2026/07/02-2026/07/08)

WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。

  • 期間: 2026/07/02-2026/07/08 に報告があったもの
  • 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
    • WordPress.orgにおける "Active installations" が 10万 以上である
    • 日本語の翻訳に対応している

深刻度が高い脆弱性: 2件

プラグイン: LatePoint

対象製品LatePoint
対象バージョン5.4.0までの全てのバージョン
修正バージョン5.4.1
CVSS 高 (7.5)
脆弱性概要5.4.0までの全てのバージョンにおいて、Stripe Connect決済プロセッサがクライアントから供給されたPaymentIntent IDを検証なしに受け入れることにより、入力値検証不備の脆弱性が存在する。認証されていない攻撃者が、以前に成功したPaymentIntentトークンを供給することで、任意の金額の支払いを成立させ、決済システムを金銭的に悪用することが可能となる。
対応方法5.4.1以降にアップデートする
CVEhttps://www.cve.org/CVERecord?id=CVE-2026-5356
公開日2026-07-07 23:37:02 (2026-07-08 12:33:15更新)
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/1b1338c4-36a8-47b0-b3cf-c5dc690f8c1c

プラグイン: Optimole

対象製品Optimole
対象バージョン4.2.7までの全てのバージョン
修正バージョン4.2.8
CVSS 高 (7.2)
脆弱性概要4.2.7までの全てのバージョンにおいて、入力サニタイズおよび出力エスケープの不備により、蓄積型クロスサイトスクリプティングの脆弱性が存在する。認証されていない攻撃者が、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。
対応方法4.2.8以降にアップデートする
CVEhttps://www.cve.org/CVERecord?id=CVE-2026-57673
公開日2026-06-30 00:00:00 (2026-07-07 20:06:07更新)
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/3320fe6a-dafc-4640-8d8b-7f62fc6e7753

他の脆弱性: 16件

プラグイン: LatePoint

対象製品LatePoint
対象バージョン5.6.2までの全てのバージョン
脆弱性概要認証されていない攻撃者が、'steps__load_step' の 'params[booking][service_id]' および 'steps__start' の 'presets[selected_service]' パラメータにおける 'service_id' の入力値検証欠落を通じて、管理者・エージェント専用に制限されたサービスに対して承認済みの予約を作成し、制限対象の予約枠を消費して未認可の予約を発動させることが可能となる。ただし悪用にはゲスト予約機能が有効化されている必要がある。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/09588c2a-1631-4924-8277-d47f096493c5

プラグイン: Ad Inserter

対象製品Ad Inserter
対象バージョン2.8.16までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済みの場合に、'[adinserter]' ショートコードの 'data' 属性から解析される '{reusable-block-N}' パターンを悪用し、'replace_ai_tags()' 関数が 'get_post_field('post_content', N)' を使用する際に 'current_user_can('read_post')' によるユーザー権限検証・投稿タイプ限定・投稿ステータス確認を行わないことを通じて、他ユーザー所有の非公開・下書き・保留中・ゴミ箱・パスワード保護投稿を含む任意の投稿の全内容にアクセスすることが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/20f0e9ae-786b-4ba8-a6d5-92bf31ebc2c7

プラグイン: Ultimate Member

対象製品Ultimate Member
対象バージョン2.11.4までの全てのバージョン
脆弱性概要購読者以上の権限を持つユーザーで認証済みの場合に、'about_me' パラメータを通じてページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境で実行させることが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/229a4e61-571c-44c6-9972-4dfc743afffe

プラグイン: HubSpot All-In-One Marketing

対象製品HubSpot All-In-One Marketing
対象バージョン11.3.56までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済みの場合に、機密性の高いユーザーデータまたはサイト設定データを抽出することが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/3deffe49-c40e-4231-b9d6-035f6dc5f8b2

プラグイン: Kirki

対象製品Kirki
対象バージョン6.0.11までの全てのバージョン
脆弱性概要購読者以上の権限を持つユーザーで認証済みの場合に、認証済みユーザーからの任意の宛先へのWebリクエスト処理に対する制限不足を通じて、Webアプリケーションを起点として任意の宛先へリクエストを送信し、内部サービスの情報を照会・改ざんすることが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/6979f943-f348-4750-932f-54f0011cd23c

プラグイン: Download Manager

対象製品Download Manager
対象バージョン3.3.61までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済みの場合に、'note_before' および 'note_after' ショートコード属性を通じてページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境で実行させることが可能となる。ただし 'unfiltered_html' が無効な環境では、保存時のフィルタを回避するペイロードのみが到達する。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/74cd34be-008c-4ff3-ae3c-417cfd2fee9b

プラグイン: Kirki

対象製品Kirki
対象バージョン6.0.11までの全てのバージョン
脆弱性概要認証されていない攻撃者が、'get_single_symbol' 機能で連番のWordPress投稿IDにアクセスすることを通じて、非公開の下書きを含む任意の 'kirki_symbol' 投稿のビルダーメタデータとレンダリング済みHTML全体を取得することが可能となる。ただし悪用にはWordPressの投稿IDが推測可能である必要がある。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/8b5db7fa-2e72-4719-b85e-cc31778c2274

プラグイン: GenerateBlocks

対象製品GenerateBlocks
対象バージョン2.2.1までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済みの場合に、Headline BlockのDynamic Link属性 'linkMetaFieldType' を通じて、プロフィール説明に 'javascript:' プレフィックス付きのペイロードを格納することで、管理者を含むページ閲覧者の環境で任意のウェブスクリプトを実行させることが可能となる。ただし悪用にはプロフィール説明が 'get_safe_user_meta_keys()' でホワイトリスト化されている必要がある。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/aac15273-0a5d-4107-8249-7fff7f503005

プラグイン: Smash Balloon Social Photo Feed

対象製品Smash Balloon Social Photo Feed
対象バージョン6.11.1までの全てのバージョン
脆弱性概要認証されていない攻撃者が、サイト管理者にリンクのクリックなどの操作を行わせることで、'maybe_connection_data' 関数のnonce検証の欠落を悪用した偽造リクエストを通じて、InstagramおよびFacebookのoEmbed認証トークンを上書きすることが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/abe6366a-3729-474f-8920-b5ed2eeab906

プラグイン: Site Kit by Google

対象製品Site Kit by Google
対象バージョン1.176.0までの全てのバージョン
脆弱性概要編集者以上の権限を持つユーザーで認証済みの場合に、機能の権限チェック欠落を通じて、不正なアクションを実行することが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/ad382ec2-55c8-4d6c-b318-db199f812493

プラグイン: Kirki

対象製品Kirki
対象バージョン6.0.11までの全てのバージョン
脆弱性概要認証されていない攻撃者が、ユーザー認可検証の不足を通じて、'emailSubject' に 'sanitize_text_field()' のみが適用されエスケープされずにHTML本体へ連結される 'emailBody' と、対象ユーザー向けの正規のWordPressパスワードリセットリンクを含みうる 'chip' 要素を悪用し、任意の登録ユーザーへHTMLを注入したメール(フィッシングを含む)を送信し、SPF/DKIM評価を悪用することが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/af01964f-018d-4d19-8627-8889877db105

プラグイン: Website Builder by SeedProd — Theme Builder, Landing Page Builder, Coming Soon Page, Maintenance Mode

対象製品Website Builder by SeedProd — Theme Builder, Landing Page Builder, Coming Soon Page, Maintenance Mode
対象バージョン6.20.2までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済みの場合に、'seedprodnestedmenuwidget' ショートコードの属性を通じてページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境で実行させることが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/ba751f98-f86c-451b-8a12-a2e9e76768e5

プラグイン: Enable Media Replace

対象製品Enable Media Replace
対象バージョン4.2.1までの全てのバージョン
脆弱性概要編集者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境で実行させることが可能となる。ただし影響はマルチサイト環境または 'unfiltered_html' が無効化された環境に限られる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/c8fe4c70-c196-4f20-b787-bea223726fab

プラグイン: LatePoint

対象製品LatePoint
対象バージョン5.6.1までの全てのバージョン
脆弱性概要認証されていない攻撃者が、'process_step_customer()' での認可検証の不足を通じて、既知の顧客メールアドレスを使用することで、管理者アカウントに紐付く顧客を含む任意の顧客レコードの個人識別情報(名・姓・電話番号・備考)を改ざんすることが可能となる。ただし悪用にはゲスト予約機能が有効化されている('is_customer_auth_disabled()' がtrueである)必要がある。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/e4dcedcc-2878-47b2-99f0-ecba2cc33b69

プラグイン: Elementor Website Builder

対象製品Elementor Website Builder
対象バージョン4.1.3までの全てのバージョン
脆弱性概要寄稿者以上の権限を持つユーザーで認証済みの場合に、機密性の高いユーザーデータまたはサイト設定データを抽出することが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/eb43a145-2f35-456d-bccb-671f381db1ce

プラグイン: GiveWP

対象製品GiveWP
対象バージョン4.16.1までの全てのバージョン
脆弱性概要Give Worker以上の権限を持つユーザーで認証済みの場合に、'sequoia[introduction][image]' パラメータを通じてページへ任意のウェブスクリプトを挿入し、そのページにアクセスしたユーザーの環境で実行させることが可能となる。
詳細https://www.wordfence.com/threat-intel/vulnerabilities/id/ee18552b-2814-4598-9b7b-7c919d6d644e

総括

この期間内に報告された脆弱性18件のうち、7件は認証されていない攻撃者に影響を受ける脆弱性で、11件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。

深刻度が高い脆弱性は、いずれも認証不要で悪用できる2件です。LatePoint(CVSS 7.5)は、Stripe Connect決済プロセッサがクライアント供給のPaymentIntent IDを検証しないため、認証されていない攻撃者が過去に成功したトークンを再利用して任意の金額の支払いを成立させることができ、決済システムの金銭的悪用につながります。Optimole(CVSS 7.2)は認証不要の蓄積型XSSで、ページ閲覧者の環境で任意のスクリプトが実行されます。

他の脆弱性では、LatePoint と Kirki に複数の問題が集中している点が注目されます。LatePoint は認証なしで制限サービスの予約を作成できるIDORと、顧客の個人識別情報を改ざんできる認可バイパスの2件が報告されています。Kirki は認証なしで非公開の下書きメタデータを取得できる情報漏洩、フィッシングメールの送信につながる認可バイパス、および購読者権限で内部サービスへリクエストを送れるSSRFの3件が報告されています。また Ad Inserter は寄稿者権限で他ユーザーの非公開・下書き投稿の全内容にアクセスでき、Smash Balloon Social Photo Feed は管理者を操作に誘導してSNS連携トークンを上書きできる点に注意が必要です。

全体として、決済トークンの再利用や認可回避による情報漏洩・データ改ざん、IDOR、そして権限を要する蓄積型XSSが中心となっています。特に認証なしで金銭的被害につながる LatePoint の決済不備と、複数の認可回避を抱える Kirki は優先的な対応が必要です。該当プラグインは速やかに修正バージョンへ更新し、あわせて予約・決済プラグインのゲスト予約設定とトークン検証、SNS・メール連携の設定、REST API とショートコードの権限チェック、不要な投稿権限の付与状況を確認することが重要です。

Security Advisory for WordPress はメールでも配信しています。
こちらからお申し込みください:https://www.prime-strategy.co.jp/mail-magazine/