こんにちは。プライム・ストラテジーの相馬理紗です。 皆さん、バージョンアップはしましたか? WordPress6.8.2が先日リリースされました。複数のバグとセキュリティ修正を含むアップデートです。まだバージョンアップしてないという方はテーマやプラグインの互換性を確認をして、6.8.2へのバージョンアップを早めに行ってくださいね。
今回は、2025年8月7日~2025年8月13日に報告されたWordPress脆弱性のうち、Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。
- WordPress.orgにおける“Active installations"が10万以上である
- 日本語の翻訳に対応している
他の脆弱性: 7件
今回は、深刻度が高い脆弱性ありませんでした。以下、他の脆弱性を紹介します。
プラグイン: Elementor Website Builder
| 対象製品 | Elementor Website Builder |
| 対象バージョン | 3.30.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/13929b51-b32e-401c-a642-49f7cd2d07bf |
管理者以上の権限を持つユーザーで認証済みの場合に、この脆弱性を悪用すると、機密情報が含まれている可能性があるサーバ上の任意のファイルの内容を読み取ることが可能になります。
プラグイン: WP Shortcodes Plugin - Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin - Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5934d1c8-1553-4908-aaab-89d2189eb4cd |
認証を受けていない第三者が、サイト管理者をだましてリンクをクリックするといったアクションを実行させることで、任意のショートコードを実行することが可能となります。CVE-2025-7354と組み合わさると、Reflected Cross-Site Scripting (Reflected XSS) が発生する可能性があります。
プラグイン: Simple Local Avatars
| 対象製品 | Simple Local Avatars |
| 対象バージョン | 2.8.4までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/69d78334-2b38-43ee-acf6-c073d5826213 |
購読者以上の権限を持つユーザーで認証済みの場合、この脆弱性を悪用すると、すべてのユーザーのアバターメタデータを移行することが可能になります。
テーマ: OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 4.0.9から4.1.1までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9c6f9a3d-54a6-4405-b42b-37fc8342af96 |
認証を受けていない第三者が、サイト管理者をだましてリンクをクリックするといったアクションを実行させることで、偽造されたリクエストを通じてOcean Extraプラグインをインストールすることが可能となります。
プラグイン: File Manager Pro
| 対象製品 | File Manager Pro |
| 対象バージョン | 5.3.6までの全てのバージョン (Advanced File Manager - Ultimate WP File Manager And Document Library Solution)、1.8.9までの全てのバージョン (File Manager Pro - Filester)、8.4.2までの全てのバージョン (File Manager Pro) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c2a166de-3bdf-4883-91ba-655f2757c53b |
認証を受けていない第三者が、任意のファイルを削除することが可能になります。この脆弱性を悪用するには、サイト管理者がファイルマネージャーのインスタンスをユーザーに明示的に提供している必要があります。
プラグイン: OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 3.6.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
寄稿者以上の権限を持つユーザーで認証済の場合、「ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行する」「任意のウェブスクリプトをページに挿入する」といったことが可能になります。
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性に起因するものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
プラグイン: WP Shortcodes Plugin - Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin - Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
寄稿者以上の権限を持つユーザーで認証済の場合に、「ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行する」「任意のウェブスクリプトをページに挿入する」といったことが可能になります。
この脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性に起因するものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
総括
2025年8月7日~2025年8月13日に報告された脆弱性7件のうち、2件は認証を受けていない第三者(つまり誰でも攻撃できる) に影響を及ぼす脆弱性で、5件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。
OceanWPとWP Shortcodes Pluginには過去に報告されている脆弱性に加えて、複数の脆弱性が報告されています。既にアップデートを実施したから安心することなく、継続してアップデートをしていくことが重要です。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
Windows 11バージョン25H2に3件の不具合
