こんにちは。プライム・ストラテジーの相馬理紗です。
WordPressのアップデートは済んでいますか? 2025年9月30日に、マイナーアップデート「WordPress 6.8.3」がリリースされました。こちらのアップデートはセキュリティの対応となります。アップデートがまだの方は早急に対応してくださいね。
今回は、2025年10月2日~2025年10月8日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。 - WordPress.orgにおける“Active installations"が10万以上である - 日本語の翻訳に対応している
他の脆弱性:11件
今回、深刻度が高い脆弱性はなかったので、他の脆弱性を11件紹介します。
コア: WordPress
| 対象製品 | WordPress |
| 対象バージョン | 4.7から4.7.30までの全てのバージョン 4.8から4.8.26までの全てのバージョン 4.9から4.9.27までの全てのバージョン 5.0から5.0.23までの全てのバージョン 5.1から5.1.20までの全てのバージョン 5.2から5.2.22までの全てのバージョン 5.3から5.3.19までの全てのバージョン 5.4から5.4.17までの全てのバージョン 5.5から5.5.16までの全てのバージョン 5.6から5.6.15までの全てのバージョン 5.7から5.7.13までの全てのバージョン 5.8から5.8.11までの全てのバージョン 5.9から5.9.11までの全てのバージョン 6.0から6.0.10までの全てのバージョン 6.1から6.1.8までの全てのバージョン 6.2から6.2.7までの全てのバージョン 6.3から6.3.6までの全てのバージョン 6.4から6.4.6までの全てのバージョン 6.5から6.5.6までの全てのバージョン 6.6から6.6.3までの全てのバージョン 6.7から6.7.3までの全てのバージョン 6.8から6.8.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a2926c11-c6a2-4988-89ed-42d9e0791b95 |
寄稿者以上の権限を持つユーザーで認証済の場合に、本来アクセス権限のない投稿から情報を抽出することが可能となります。
コア: WordPress
| 対象製品 | WordPress |
| 対象バージョン | 4.7までの全てのバージョン 4.7から4.7.30までの全てのバージョン 4.8から4.8.26までの全てのバージョン 4.9から4.9.27までの全てのバージョン 5.0から5.0.23までの全てのバージョン 5.1から5.1.20までの全てのバージョン 5.2から5.2.22までの全てのバージョン 5.3から5.3.19までの全てのバージョン 5.4から5.4.17までの全てのバージョン 5.5から5.5.16までの全てのバージョン 5.6から5.6.15までの全てのバージョン 5.7から5.7.13までの全てのバージョン 5.8から5.8.11までの全てのバージョン 5.9から5.9.11までの全てのバージョン 6.0から6.0.10までの全てのバージョン 6.1から6.1.8までの全てのバージョン 6.2から6.2.7までの全てのバージョン 6.3から6.3.6までの全てのバージョン 6.4から6.4.6までの全てのバージョン 6.5から6.5.6までの全てのバージョン 6.6から6.6.3までの全てのバージョン 6.7から6.7.3までの全てのバージョン 6.8から6.8.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c3ecda09-ecee-4e97-ae6f-92d52b0589e5 |
投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行され、任意のウェブスクリプトをページに挿入可能になります。
プラグイン: All in One SEO
| 対象製品 | All in One SEO |
| 対象バージョン | 4.8.7.1までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0ada25c7-a636-45cd-b2ee-984b8f676011 |
寄稿者以上の権限を持つユーザーで認証済の場合に、許可されていない操作を実行できます。
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.10.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/54db1807-69ff-445c-9e02-9abce9fd3940 |
認証を受けていない第三者が、非公開および下書きの寄付フォームやアーカイブされたキャンペーンからデータを抽出できます。
プラグイン: Sticky Header Effects for Elementor
| 対象製品 | Sticky Header Effects for Elementor |
| 対象バージョン | 2.1.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5b98173e-0b89-44f9-a238-34a36ed422ac |
寄稿者以上の権限を持つユーザーで認証済の場合に、許可されていない操作を実行できます。
プラグイン: WP Go Maps (formerly WP Google Maps)
| 対象製品 | WP Go Maps |
| 対象バージョン | 9.0.46までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/840ba5b2-838a-455a-b39d-865f89c05249 |
認証を受けていない第三者が、CSRF攻撃を通じてログイン中の管理者にマーカーやジオメトリ要素の作成・更新・削除を強制することが可能となり、匿名ユーザーが安全でないGETリクエストによってマーカーの一括削除を引き起こせるようになります。
プラグイン: WP Reset
| 対象製品 | WP Reset |
| 対象バージョン | 2.05までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/86741f4a-8700-45dd-8998-b3f0387c27ed |
認証を受けていない第三者が、機密性の高いライセンスキーやサイトデータを抽出できます。
プラグイン: All in One SEO
| 対象製品 | All in One SEO |
| 対象バージョン | 4.8.7.1までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ba22205d-5c09-4901-ba8b-0ffe2f4a09e0 |
寄稿者以上の権限を持つユーザーで認証済の場合に、機密性の高いユーザーデータや設定データを抽出できます。
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.10.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ddf9a043-5eb6-46fd-88c2-0f5a04f73fc9 |
認証を受けていない第三者が、任意の寄付フォームを任意のキャンペーンに関連付けることができます。
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.25までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e3991601-a96c-4f98-a0f6-04a134ec6feb |
認証を受けていない第三者が、機密性の高いユーザーデータや設定データを抽出できます。
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.24までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ffa54d4e-a633-48a4-83c0-33b7cbd2229a |
認証を受けていない第三者が、サイト管理者をだましてリンクをクリックするといったアクションを実行させることで、偽造されたリクエストを通じて許可されていない操作を実行できます。
総括
10月2日~10月8日に報告された脆弱性11件のうち、6件は認証を受けていない第三者が(誰でも攻撃できる) に影響を及ぼす脆弱性で、5件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。
今回も認証を受けていない第三者、つまり、誰でも悪用可能な脆弱性が多く報告されました。深刻度が高い脆弱性はありませんでしたが、他の脆弱性を抱えるプラグインを使用している場合は速やかにアップデートを適用するようにしてください。
WordPressコアの脆弱性2件は前回の報告を更新したものです。既にアップデートが提供されていますので、それぞれのWordPressのメジャーバージョンに対応する、最新のWordPressのマイナーアップデートを適用するようにしてください。
なお、WordPressにはコアを自動更新する機能があります。デフォルトでは有効になっていますので、アップデートに追従できるようにしておきましょう。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
