こんにちは。プライム・ストラテジーの相馬理紗です。 WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。
今回は、2025年3月6日~26日に報告されたWordPress脆弱性のうち、:Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。 - WordPress.orgにおける“Active installations"が10万以上である - 日本語の翻訳に対応している
深刻度が高い脆弱性
深刻度が高い脆弱性は以下2件です。
プラグイン:WordPress Importer
| 対象製品 | WordPress Importer |
|---|---|
| 対象バージョン | 0.8.3までの全てのバージョン |
| 修正バージョン | 0.8.4 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 0.8.3までの全てのバージョンに、'maybe_unserialize'関数で信頼できない入力をデシリアライズすることにより、 PHP オブジェクトインジェクションの脆弱性が存在する。攻撃者が管理者以上の権限を持つユーザーで認証済みの場合に、PHPオブジェクトを挿入できる。ログイン (認証) が必要な攻撃だが、POPチェインの有無が不明な場合はアップデートが必要 |
| 対応方法 | 0.8.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2024-13889 |
| 公開日 | 2025-03-25 00:00:00 (2025-03-26 11:22:10更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5f0795f7-6eba-4ff0-b0da-5d2b544adf14 |
プラグイン:All-in-One WP Migration and Backup
| 対象製品 | All-in-One WP Migration and Backup |
|---|---|
| 対象バージョン | 7.89までの全てのバージョン |
| 修正バージョン | 7.90 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 7.89 までの全てバージョンに、'replace_serialized_values'関数で信頼できない入力をデシリアライズすることにより、 PHP オブジェクトインジェクションの脆弱性が存在する。これにより、認証していない攻撃者がPHPオブジェクトを挿入できる。この脆弱性を悪用するためには、管理者がバックアップをエクスポートし、リストアする必要がある |
| 対応方法 | 7.90以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2024-10942 |
| 公開日 | 2025-03-12 00:00:00 (2025-03-12 23:38:24更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0823d1d9-4f3b-4ac0-8cd1-ad208ebc325f |
上記の2つのプラグイン単体にはPOPチェインはありません。つまり、WebサイトにPOPチェインを持つ他のプラグインやテーマが存在しない限り、この脆弱性の影響はないです。
他にインストールされたプラグインやテーマにPOPチェインが存在する場合、攻撃者はそのPOPチェインによっては任意のファイルを削除したり、機密性のデータを取得したり、PHPコードを実行したりすることができます。
他の脆弱性:12件
以下、他の脆弱性12件を紹介しましょう。
プラグイン:Popup Builder
| 対象バージョン | 4.3.6までの全てのバージョン |
|---|---|
| 脆弱性概要 | 認証していない攻撃者が、管理者が購読者の情報をCSVファイルでインポートした後に、機密情報を抜き出すことができる。機密情報には、購読者の名前、姓、メールアドレスや他の個人を特定できる情報が含まれる |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/086cd6a0-adb6-4e12-b34c-630297f036f3 |
プラグイン:WooCommerce
| 対象バージョン | 9.7.0までの全てのバージョン |
|---|---|
| 脆弱性概要 | ショップ運営者以上の権限を持つユーザーで認証済みの場合、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される任意のウェブスクリプトをページに挿入できる。これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5a69f51e-0bac-4b2e-8ad4-597c6fbbff83 |
プラグイン:FluentForms - Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder
| 対象バージョン | 5.2.12までの全てのバージョン |
|---|---|
| 脆弱性概要 | 認証していない攻撃者が、IPアドレスを詐称してIPアドレスベースの制限があるフォームを送信することが可能になる |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e06fe8e4-e27a-4492-b175-3b0846e4cf10 |
プラグイン:LiteSpeed Cache
| 対象バージョン | 6.5.2までの全てのバージョン |
|---|---|
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される任意のウェブスクリプトをページに挿入できる |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e1b02e83-142f-48f8-88dd-994862d15376 |
プラグイン:TablePress - Tables in WordPress made easy
| 対象バージョン | 3.0.4までの全てのバージョン |
|---|---|
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される任意のウェブスクリプトをページに挿入できる |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e285849f-886e-49ba-bb43-8c67655fe239 |
プラグイン:Custom Twitter Feeds
| 対象バージョン | 2.2.5までの全てのバージョン |
|---|---|
| 脆弱性概要 | 認証していない攻撃者が、管理者にリンクをクリックさせることで、偽のリクエストを使ってプラグインのキャッシュをリセットすることが可能となる |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/28d47605-ecb8-42cc-901a-3cf07b946877 |
プラグイン:Ad Inserter
| 対象バージョン | 2.8.0までの全てのバージョン |
|---|---|
| 脆弱性概要 | 認証していない攻撃者が、ユーザーにリンクをクリックさせることで、任意のウェブスクリプトを実行するページに挿入できる |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9102ecd8-4860-4521-be34-bfcc91408c0c |
プラグイン:VK Blocks
| 対象バージョン | 1.94.2.2までの全てのバージョン |
|---|---|
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、プライベート投稿と固定ページを含む機密情報を取得できる |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/cc03b3f4-2edb-463b-812b-6a187a7a893c |
プラグイン:Responsive Lightbox & Gallery
| 対象バージョン | 2.4.7までの全てのバージョン |
|---|---|
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済みの場合に、任意のWebスクリプトをページに挿入できる。プラグインが同梱するJavaScriptライブラリ Featherlight.js 1.7.13 から 1.7.14 に存在する脆弱性によるもの |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/44b173da-a6b9-424c-95a1-a87a9b8ee4af |
プラグイン:bbPress
| 対象バージョン | 2.6.11までの全てのバージョン |
|---|---|
| 脆弱性概要 | 認証していない攻撃者が、bbPress Keymasterと同等の権限に昇格することができる。サイト管理者に予期しない処理を実行させることが可能だが、できることはbbPress Keymasterに付与されている権限による(最も低い場合で購読者)。この脆弱性は認証していない攻撃者 (誰でも攻撃できる) による影響を受けるが、得られる権限が限定されており、即座に管理者権限を得るものではないことから、深刻度が低い |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2d776d94-8c81-4e88-bae3-946824a75c09 |
プラグイン: Download Manager
| 対象バージョン | 3.3.08までの全てのバージョン |
|---|---|
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済みの場合に、意図されたディレクトリの外のファイルタイプを選択させることで DoS (Denial of Service) を起こす可能性がある |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/bc5c7974-4c10-4880-8823-2accee3c0da4 |
プラグイン: Post SMTP
| 対象バージョン | 3.1.2までの全てのバージョン |
|---|---|
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済みの場合に、既存のSQLクエリーに追加のSQLクエリを付加することで機密情報をデータベースから抜き出すことが可能となる |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0540f70d-009a-4776-8717-f096e30a11d3 |
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をWordPress Security Advisoryでお伝えしています。
Windows 11の7月の更新プログラム、注目の新機能
