2025年8月21日～2025年8月27日に報告されたWordPress関連の脆弱性情報

こんにちは。プライム・ストラテジーの相馬理紗です。
WordPress6.8.2がリリースされたばかりですが、今年12月2日にWordPress6.9がリリースされる予定であることが発表されました！すでにロードマップも公開されており、6.9はサイトエディターの進化やコンテンツ作成の改善が予定されているそうです。 ご興味ある方はチェックしてみてくださいね。

今回は、2025年8月21日～2025年8月27日に報告されたWordPress脆弱性のうち、Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。

• WordPress.orgにおける“Active installations"が10万以上である
• 日本語の翻訳に対応している

他の脆弱性: 7件

今回は、深刻度が高い脆弱性ありませんでした。以下、他の脆弱性を紹介します。

プラグイン: Advanced Custom Fields (ACF)

管理者以上の権限を持つユーザーで認証済の場合に、悪意のあるHTMLを注入することが可能となります。

プラグイン: Advanced Custom Fields (ACF)

この脆弱性を悪用すると、export.phpスクリプトを介したリモートファイルインクルードおよびリモートコード実行が可能となります。この攻撃は、PHPオプション allowurlinclude がOnに設定されている場合にのみ有効 (デフォルトはOff)。

プラグイン: All-in-One WP Migration and Backup

管理者以上の権限を持つユーザーで認証済の場合に、「ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される」「任意のウェブスクリプトをページに挿入する」といったことが可能になります。こうした事象はマルチサイト環境、および、unfilterd_htmlが無効化されている環境でのみ発生します。

プラグイン: GiveWP

GiveWP Worker以上の権限を持つユーザーで認証済みの場合に、寄付のステータスを更新することが可能となります。この機能はユーザーインタフェースには存在しません。

プラグイン: Beaver Builder

認証を受けていない第三者が、サイト管理者をだましてリンクをクリックするといったアクションを実行させることで、実行される任意のウェブスクリプトをページに挿入することが可能になります。

テーマ: OceanWP

認証を受けていない第三者が、サイト管理者をだましてリンクをクリックするといったアクションを実行させることで、偽造されたリクエストを通じてOcean Extraプラグインをインストールすることが可能となります。

プラグイン: WP Crontrol

管理者以上の権限を持つユーザーで認証済の場合に、Webアプリケーションから発信する任意の場所へのWebリクエストを実行できるようになり、内部サービスからの情報の照会や変更に悪用できます。

総括

この期間内に報告された脆弱性7件のうち、2件は認証を受けていない第三者 (誰でも攻撃できる) に影響を及ぼす脆弱性で、4件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。また、1件は具体的に必要となる権限が公開されていません。

今回は比較的よく使われているプラグインの1つである Advanced Custom Fieldsに脆弱性が見付かっています。管理者以上の権限が必要であるなど即座に影響が出るものではありませんが、できるだけアップデートを適用することをお勧めします。

また、 Advanced Custom Fields の脆弱性で指摘されているPHPオプション allowurlinclude ですが、KUSANAGIでもデフォルトはOffとなっています。

現在のオプションがどの値に設定されているか確認する場合、コマンドであれば php -i を実行します。以下の例では Off になっています。

#  php -i
phpinfo()
PHP Version => 8.3.24
(略)
allow_url_include => Off => Off
(略)

あるいは phpinfo() 関数を記述したスクリプトをWebサイトで実行することでも同様に確認できます。ただし、このスクリプトを公開しておくことでサイトの設定が漏洩しますので、確認後に速やかに削除するようにしてください。