こんにちは。プライム・ストラテジーの相馬理紗です。
古いWordPressプラグインを悪用した大規模なサイバー攻撃が発生した、という記事を目にしました。10月8日~9日の2日間で、870万件もの攻撃をブロックしたというWordfenceの報告があったそうです。
サイバー攻撃を受けないためにも、プラグインやテーマは常に最新のものを利用する、脆弱性情報はこまめにチェックするようにしてくださいね
今回は、2025年10月16日~2025年10月22日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。 - WordPress.orgにおける“Active installations"が10万以上である - 日本語の翻訳に対応している
深刻度が高い脆弱性:1件
深刻度が高い脆弱性は1件でした。
プラグイン: Responsive Lightbox & Gallery
| 対象製品 | Responsive Lightbox & Gallery |
| 対象バージョン | 2.5.2までの全てのバージョン |
| 修正バージョン | 2.5.3 |
| CVSS | 高 (7.2) |
| 対応方法 | 2.5.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-9710 |
| 公開日 | 2025-09-15 00:00:00 (2025-10-16 14:26:35更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/06063978-6c61-42e0-bf03-092aaa20d850 |
2.5.2までの全バージョンに、入力のサニタイズと出力のエスケープが不十分であるため、Stored Cross-Site Scriptingの脆弱性が存在します。認証を受けてない第三者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できます。
他の脆弱性: 6件
他の脆弱性は6件です。
プラグイン: ShortPixel Image Optimizer
| 対象製品 | ShortPixel Image Optimizer |
| 対象バージョン | 6.3.4までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1f7e9eb5-e222-43fa-a14f-b9cbced6b8f5 |
寄稿者以上の権限を持つユーザーで認証済の場合に、サイトのオプションをエクスポートとインポートすることが可能となります。
プラグイン: Ultimate Addons for Elementor (Formerly Elementor Header & Footer Builder)
| 対象製品 | Ultimate Addons for Elementor (Formerly Elementor Header & Footer Builder) |
| 対象バージョン | 2.4.9までの全てのバージョンv |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4117683b-5827-406c-aaaf-b01e9fdb1ba7 |
投稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたSVGファイルにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをSVGファイルに挿入できます。
プラグイン: Crowdsignal Dashboard
| 対象製品 | Crowdsignal Dashboard |
| 対象バージョン | 3.1.3までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/50959c4e-b7b9-45a1-9323-a1289ec1424f |
認証を受けてない第三者が、リンクをクリックするなどの操作を管理者に実行させることで、許可されていない操作を実行できます。
プラグイン: WP Go Maps (formerly WP Google Maps)
| 対象製品 | WP Go Maps (formerly WP Google Maps) |
| 対象バージョン | 9.0.48までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/531360c6-e78a-4344-be06-95735337a2d6 |
認証を受けてない第三者が、位置情報検索結果のキャッシュの場所を改ざんすることが可能となります。
プラグイン: FileBird
| 対象製品 | FileBird |
| 対象バージョン | 6.4.9までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/60ed7738-5cba-4fc0-9178-265773555369 |
投稿者以上の権限を持つユーザーで認証済の場合に、全てのプラグインの設定データをリセットできる。
プラグイン: Ally
| 対象製品 | Ally |
| 対象バージョン | 3.8.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f9190d35-c9e7-4190-8e66-f6066fe66af8 |
認証を受けてない第三者が、サイト管理者をだましてリンクをクリックするといったアクションを実行させることで、フィルタリングされていないファイルのアップロードやSVGファイルをアップロードリストに追加できます。
総括
10月16日~2025年10月22日に報告された脆弱性7件のうち、4件は認証を受けてない第三者が (誰でも攻撃できる) に影響を与える脆弱性で、3件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。
前回に続いて、誰もが攻撃することを可能にする脆弱性が報告されています。今回は深刻度が高い脆弱性が1件ありましたので、該当するプラグインを使用している場合は速やかにアップデートを適用するようにしてください。また、他の脆弱性についてもアップデートを行い、最新版を維持するようにしてください。
サイト管理者をだましてリンクをクリックするといったアクションを実行させることをトリガーとする脆弱性が多く報告されています。脆弱性を悪用してアクションを仕込むところまでは行えますが、攻撃者には実行する権限がないためにサイト管理者が実行するのを待つタイプの攻撃です。サイト管理者はサイト内であっても見覚えのないリンクを不用意にクリックしないようにするなど、注意を怠らないことが重要です。また、サイトの編集などの必要な時以外はログアウトして、一般の利用者としてサイトを閲覧・確認することも一定の対策になります。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
Gmailなど1億8300万件の認証情報流出、確認と対策を
