こんにちは。プライム・ストラテジーの相馬理紗です。
2025年7月にWordPress旧バージョン(4.1~4.6)のセキュリティサポートが終了しましたね。皆さん、ご存じでしたか。これらのバージョンを使用しているサイトではセキュリティリスクが高まるため、速やかなバージョンアップ対応をしてくださいね。
さて、WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。
今回は、2025年7月24日~2025年7月30日に報告されたWordPress脆弱性のうち、Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。
- WordPress.orgにおける“Active installations"が10万以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 3件
深刻度が高い脆弱性は3件です。
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 2.9.3から2.9.4までの全てのバージョン |
| 修正バージョン | 2.9.5 |
| CVSS | 高 (8.8) |
| 対応方法 | 2.9.5以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-7847 |
| 公開日 | 2025-07-30 16:06:38 (2025-07-30 16:06:39更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1c1c7ec9-d01f-433d-abec-dc2b6ff684c7 |
2.9.3および2.9.4のバージョンにおいて、rest_simpleFileUpload()関数でファイルタイプの検証が欠如しているため、任意のファイルがアップロードされる脆弱性があります。
攻撃者が購読者権限以上の権限を持つユーザーで認証済みの場合に、REST APIが有効化されているサイトに任意のファイルをアップロードすることが可能となり、リモートコード実行のリスクが生じる可能性があります。
プラグイン: Widget Logic
| 対象製品 | Widget Logic |
| 対象バージョン | 6.0.5までの全てのバージョン |
| 修正バージョン | 6.0.6 |
| CVSS | 高 (8.8) |
| 対応方法 | 6.0.6以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-32222 |
| 公開日 | 2025-06-09 00:00:00 (2025-07-25 15:50:48更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d2e762b6-b3f2-4610-b7db-98c62e014d40 |
6.0.5までの全てのバージョンに、リモートコード実行の脆弱性があります。 攻撃者が寄稿者以上の権限を持つユーザーで認証済みの場合に、サーバーでコード実行する可能性があります。
プラグイン: Post SMTP
| 対象製品 | Post SMTP |
| 対象バージョン | 3.2.0までの全てのバージョン |
| 修正バージョン | 3.3.0 |
| CVSS | 高 (8.8) |
| 対応方法 | 3.3.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-24000 |
| 公開日 | 2025-07-21 00:00:00 (2025-07-24 22:57:41更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e61396d0-9396-449c-b8c4-53fc4e2c57bb |
3.2.0までの全てのバージョンにおいて、get_details()関数における権限チェックの欠如により、アカウント乗っ取りによる権限昇格の脆弱性が存在します。
攻撃者が購読者以上の権限を持つユーザーで認証済みの場合に、パスワードリセットの詳細を含むメールログにアクセス可能となり、管理者を含むすべてのユーザーのアカウント乗っ取りにつながる可能性があります。
他の脆弱性: 10件
以下、他の脆弱性10件を紹介しましょう。
プラグイン: ElementsKit Elementor Addons and Templates
| 対象製品 | ElementsKit Elementor Addons and Templates |
| 対象バージョン | 3.5.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1627e235-7836-43dc-a3f6-7f79da6ab229 |
寄稿者以上の権限を持つユーザーで認証済の場合に、「ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される」「任意のウェブスクリプトをページに挿入される」可能性があります。
プラグイン: Smart Slider 3
| 対象製品 | Smart Slider 3 |
| 対象バージョン | 3.5.1.28までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/188baddc-134c-4a82-898b-9b038e795893 |
管理者以上の権限を持つユーザーで認証済みの場合に、既存のSQLクエリに追加のSQLクエリを挿入し、データベースから機密情報を抽出するために利用可能なクエリを作成することが可能になります。
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.5.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/39e501d8-88a0-4625-aeb0-aa33fc89a8d4 |
管理者以上の権限を持つユーザーで認証済みの場合、既存のSQLクエリに追加のSQLクエリを挿入し、データベースから機密情報を抽出するために利用可能なクエリを作成することが可能になります。
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 2.9.4までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/513274bc-3016-4adb-be78-b13c5fae9c03 |
購読者以上の権限を持つユーザーで認証済みの場合に、Webサーバ上の任意のファイルを読み取り、プラグインのOpenAI API統合経由で外部に漏洩させる可能性があります。
プラグイン: Reviews Feed
| 対象製品 | Reviews Feed |
| 対象バージョン | 1.1.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5d9e20f7-813c-4691-bce4-d0ff4774ae48 |
認証されていない第三者が、管理者をだましてリンクをクリックするなどのアクションを実行させることで、偽のリクエストを使用してAPIキーを更新することができます。
プラグイン: Elementor Website Builder
| 対象製品 | Elementor Website Builder |
| 対象バージョン | 3.29.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/639693b6-369e-457e-a37e-30bdb8ea7275 |
認証されていない第三者が、管理者をだましてリンクをクリックするなどのアクションを実行させることで、偽のリクエストを使用してAPIキーを更新することができます。
プラグイン: Elementor Website Builder
| 対象製品 | Elementor Website Builder |
| 対象バージョン | 3.30.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/af29ec92-5b07-4f57-a25f-19f3a894a193 |
寄稿者以上の権限を持つユーザーで認証済の場合に、「ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される」「任意のウェブスクリプトをページに挿入する」ことが可能になります。この脆弱性はGoogle ChromeおよびMicrosoft Edgeにのみ影響を及ぼします。
プラグイン: OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 3.6.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
寄稿者以上の権限を持つユーザーで認証済の場合に、「ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される」「任意のウェブスクリプトをページに挿入する」ことが可能になります。
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性に起因するものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
プラグイン: WP Shortcodes Plugin - Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin - Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
寄稿者以上の権限を持つユーザーで認証済の場合に、「ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される」「任意のウェブスクリプトをページに挿入する」ことが可能になります。
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性に起因するものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
プラグイン: Reviews Feed
| 対象製品 | Reviews Feed |
| 対象バージョン | 1.1.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dc3e89e5-2e7e-497e-b340-b787ebdf3711 |
購読者以上の権限を持つユーザーで認証済の場合に、APIキーのオプションを更新できます。
総括
この期間内に報告された脆弱性13件のうち、1件は認証されていない第三者 (誰でも攻撃できる) に影響を及ぼす脆弱性で、12件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。
Widget Logicではリモートコード実行の脆弱性が見付かっています。早急に対応するようにしてください。
また、これまでも度々報告が上がっているAI Engineには複数の脆弱性が見付かっています。新しいプラグインや継続的に開発が行われているプラグインでは、脆弱性が発見される機会が増えます。こうしたプラグインは常に最新版を使うようにアップデートを継続することが重要です。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
Androidに2件の緊急脆弱性、アップデートを
