こんにちは。プライム・ストラテジーの相馬理紗です。

2024年にWordPressユーザーが最も多くインストールしたプラグインを紹介する記事を見つけました。WooCommerceやGoogle Site Kit、YoastSEOなど、「名聞いたことがある!」「使っている!」と感じる身近なプラグインが紹介されていました。WordPressをより便利にしてくれるプラグインですが、脆弱性にはご注意を! 最新情報をしっかりとチェックしてアップデートしていきましょう。

今回は、2025年9月4日~2025年9月9日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。

  • WordPress.orgにおける“Active installations"が10万以上である
  • 日本語の翻訳に対応している

深刻度が高い脆弱性:2件

深刻度が高い脆弱性は2件でした。

プラグイン:Ninja Forms

対象製品 Ninja Forms
対象バージョン 3.11.0までの全てのバージョン
修正バージョン 3.11.1
CVSS 高 (8.1)
対応方法 3.11.1以降にアップデートする
CVE https://www.cve.org/CVERecord?id=CVE-2025-9083
公開日 2025-08-28 00:00:00 (2025-09-09 13:48:00更新)
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/a567b932-7984-400b-bca0-8d2b0e4b1cb7

3.11.0 までの全てのバージョンに、安全ではない入力のデシリアライゼーションのため、PHPオブジェクトインジェクションの脆弱性が存在します。この脆弱性を悪用すると、認証を受けていない第三者が、任意のPHPオブジェクトを挿入できます。

なお、このプラグイン単体にはPOPチェインはありません。つまり、WebサイトにPOPチェインを持つ他のプラグインやテーマが存在しない限り、この脆弱性の影響は受けません。

もしも、他にインストールされたプラグインやテーマにPOPチェインが存在する場合、攻撃者はそのPOPチェインによっては任意のファイルを削除したり、機密性のデータを取得したり、PHPコードを実行したりすることができます。

プラグイン:Import any XML, CSV or Excel File to WordPress

対象製品 Import any XML, CSV or Excel File to WordPress
対象バージョン 3.9.3までの全てのバージョン
修正バージョン 3.9.4
CVSS 高 (7.2)
対応方法 3.9.4以降にアップデートする
CVE https://www.cve.org/CVERecord?id=CVE-2025-10001
公開日 2025-09-09 00:00:00 (2025-09-09 18:18:36更新)
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/bb03aeb8-32ab-4962-bc95-b10fb7bd7fcf

3.9.3までの全てのバージョンに、ファイルタイプのバリデーションが不十分なため、任意のファイルをアップロードされる脆弱性が存在します。この脆弱性を悪用すると、管理者以上の権限を持つユーザーで認証済の場合、サーバ上の.phar ファイルといった安全ではないファイルをアップロードすることが可能となり、リモートでコードが実行される可能性があります。

他の脆弱性: 1件

他の脆弱性は1件です。

プラグイン: Fluent Forms

対象製品 Fluent Forms
対象バージョン 5.1.16から6.1.1までの全てのバージョン
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/938e5d6b-1ad6-4021-a148-1d1c9e8a0a83

購読者以上の権限を持つユーザーで認証済の場合に、PHPオブジェクトを挿入できます。追加のPOPチェインが存在するため、攻撃者は任意のファイルを読み込めます。また、‘allow_url_include'が有効なサーバでは、リモートコードを実行することが可能です。

ベンダーによってこの問題はバージョン6.1.0で修正されているものの、この修正は脆弱性があるコードで存在しないクラスのインポートに関する致命的なエラー (fatal error) を引き起します。そのため、バージョン6.1.2が完全で最もよい修正バージョンと考えられます。

総括

9月4日~2025年9月9日に報告された脆弱性3件のうち、1件は認証されていない第三者 (誰でも攻撃できる) に影響を及ぼす脆弱性で、2件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。

引き続き、POPチェインに関する脆弱性が報告されています。Ninja Formsの脆弱性は認証されていない第三者 が任意のPHPオブジェクトを挿入できるものと、影響度が高いものです。該当するプラグインを使用している場合は速やかにアップデートを行うようにしてください。

Fluent Formsは前回の報告のアップデートになります。また、POPチェインについてはこちらを参照してください。

著者プロフィール

相馬理紗


WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。