2025年9月18日～2025年9月24日に報告があったWordPress関連の脆弱性情報

こんにちは。プライム・ストラテジーの相馬理紗です。

WordPressの市場シェアが依然として高水準を維持しています。2025年8月時点では、全Webサイトの約43.4％がWordPressを利用しており、CMS市場におけるシェアは60.8%に達しているそうです。WordPressの影響力とエコシステムの規模を改めて実感しますね。

今回は、2025年9月18日～2025年9月24日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。 - WordPress.orgにおける“Active installations"が10万以上である - 日本語の翻訳に対応している

他の脆弱性：3件

今回、深刻度が高い脆弱性はなかったので、他の脆弱性を3件紹介します。

プラグイン: Download Manager

認証を受けていない第三者がサイト管理者をだましてリンクをクリックするといったアクションを実行させることで、実行される任意のウェブスクリプトをページに挿入できます。

コア：WordPress

寄稿者以上の権限を持つユーザーで認証済の場合に、機密性の高いユーザーデータや設定データを抽出することが可能となります。

なお、この脆弱性は第三者による誤った早期開示があったため、現時点でパッチは提供されていません。当該の第三者はWordPressコアチームと調整し、パッチ適用まで脆弱性を公開状態に保つことを決定しました。

WordPressサイトへのリスクは低く、WordPressセキュリティチームは修正を積極的に進めています。

コア：WordPress

投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行され、任意のウェブスクリプトをページに挿入可能になります。

なお、この脆弱性も第三者による誤った早期開示があったため、現時点でパッチは提供されていません。当該の第三者はWordPressコアチームと調整し、パッチ適用まで脆弱性を公開状態に保つことを決定しました。

WordPressサイトへのリスクは低く、WordPressセキュリティチームは修正を積極的に進めています。

総括

9月18日～2025年9月24日に報告された脆弱性3件のうち、1件は認証を受けていない第三者 (誰でも攻撃できる) に影響を及ぼす脆弱性で、2件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。

WordPressコアの脆弱性が2件報告されています。前述したように、これらの脆弱性は第三者による誤った早期開示があったために、現時点でまだ修正のパッチが提供されていません。

ただし、脆弱性のWordPressサイトへのリスクは低く、WordPressセキュリティチームは修正を積極的に進めています。パッチは 6.8.3 で提供されると考えられますので、リリースした際にはアップデートを適用するようにしてください。

WordPressコアの脆弱性については、珍しく修正のパッチが提供される前に内容が公開されています。修正が提供される前に脆弱性が公開されてしまうと、その脆弱性を悪用した攻撃を受けるリスクが上がります。そのため、脆弱性の発見者は関係者 (この場合はWordPressコアチーム) と公開の時期と方法を協議して決めるのが一般的です。

今回は何らかの理由で、先に脆弱性の情報が公開されてしまったようです。ただし、WordPressサイトへのリスクが低いとWordPressコアチームが判断し、修正が提供されていないものの、公開は取り消さないことになりました。

WordPressとは離れた話題となりますが、FeliCa ICチップの脆弱性に関する指摘が一部報道機関によって脆弱性の情報を公開する前に報道されてしまった事案がありました。この件については、経済産業省が情報セキュリティ早期警戒パートナーシップガイドラインに則した対応を取るように要請を出しています。

脆弱性に関する情報の公開はセキュリティのために必要なことではありますが、公開の時期と方法を間違えると社会をリスクにさらす危険性も伴います。被害発生を抑制するため、脆弱性に関する情報は正しく管理することを常に意識してください。