こんにちは。プライム・ストラテジーの相馬理紗です。
2024年にWordPressユーザーが最も多くインストールしたプラグインを紹介する記事を見つけました。WooCommerceやGoogle Site Kit、YoastSEOなど、「名聞いたことがある!」「使っている!」と感じる身近なプラグインが紹介されていました。WordPressをより便利にしてくれるプラグインですが、脆弱性にはご注意を! 最新情報をしっかりとチェックしてアップデートしていきましょう。
今回は、2025年9月4日~2025年9月9日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。
- WordPress.orgにおける“Active installations"が10万以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性:2件
深刻度が高い脆弱性は2件でした。
プラグイン:Ninja Forms
対象製品 | Ninja Forms |
対象バージョン | 3.11.0までの全てのバージョン |
修正バージョン | 3.11.1 |
CVSS | 高 (8.1) |
対応方法 | 3.11.1以降にアップデートする |
CVE | https://www.cve.org/CVERecord?id=CVE-2025-9083 |
公開日 | 2025-08-28 00:00:00 (2025-09-09 13:48:00更新) |
詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a567b932-7984-400b-bca0-8d2b0e4b1cb7 |
3.11.0 までの全てのバージョンに、安全ではない入力のデシリアライゼーションのため、PHPオブジェクトインジェクションの脆弱性が存在します。この脆弱性を悪用すると、認証を受けていない第三者が、任意のPHPオブジェクトを挿入できます。
なお、このプラグイン単体にはPOPチェインはありません。つまり、WebサイトにPOPチェインを持つ他のプラグインやテーマが存在しない限り、この脆弱性の影響は受けません。
もしも、他にインストールされたプラグインやテーマにPOPチェインが存在する場合、攻撃者はそのPOPチェインによっては任意のファイルを削除したり、機密性のデータを取得したり、PHPコードを実行したりすることができます。
プラグイン:Import any XML, CSV or Excel File to WordPress
対象製品 | Import any XML, CSV or Excel File to WordPress |
対象バージョン | 3.9.3までの全てのバージョン |
修正バージョン | 3.9.4 |
CVSS | 高 (7.2) |
対応方法 | 3.9.4以降にアップデートする |
CVE | https://www.cve.org/CVERecord?id=CVE-2025-10001 |
公開日 | 2025-09-09 00:00:00 (2025-09-09 18:18:36更新) |
詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/bb03aeb8-32ab-4962-bc95-b10fb7bd7fcf |
3.9.3までの全てのバージョンに、ファイルタイプのバリデーションが不十分なため、任意のファイルをアップロードされる脆弱性が存在します。この脆弱性を悪用すると、管理者以上の権限を持つユーザーで認証済の場合、サーバ上の.phar ファイルといった安全ではないファイルをアップロードすることが可能となり、リモートでコードが実行される可能性があります。
他の脆弱性: 1件
他の脆弱性は1件です。
プラグイン: Fluent Forms
対象製品 | Fluent Forms |
対象バージョン | 5.1.16から6.1.1までの全てのバージョン |
詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/938e5d6b-1ad6-4021-a148-1d1c9e8a0a83 |
購読者以上の権限を持つユーザーで認証済の場合に、PHPオブジェクトを挿入できます。追加のPOPチェインが存在するため、攻撃者は任意のファイルを読み込めます。また、‘allow_url_include'が有効なサーバでは、リモートコードを実行することが可能です。
ベンダーによってこの問題はバージョン6.1.0で修正されているものの、この修正は脆弱性があるコードで存在しないクラスのインポートに関する致命的なエラー (fatal error) を引き起します。そのため、バージョン6.1.2が完全で最もよい修正バージョンと考えられます。
総括
9月4日~2025年9月9日に報告された脆弱性3件のうち、1件は認証されていない第三者 (誰でも攻撃できる) に影響を及ぼす脆弱性で、2件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。
引き続き、POPチェインに関する脆弱性が報告されています。Ninja Formsの脆弱性は認証されていない第三者 が任意のPHPオブジェクトを挿入できるものと、影響度が高いものです。該当するプラグインを使用している場合は速やかにアップデートを行うようにしてください。
Fluent Formsは前回の報告のアップデートになります。また、POPチェインについてはこちらを参照してください。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。