こんにちは。プライム・ストラテジーの相馬理紗です。
WordPress6.9が、12月2日にリリースされる予定です。現在ベータ版が徐々に公開されています。WordPressのメジャーアップデートは表示崩れやプラグインとの互換性などがあり、重いタスクになってしまうかと思いますが、事前準備(バックアップ等)をしたうえでアップデートの対応をしてくださいね。
今回は、2025年10月30日~2025年11月5日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。 - WordPress.orgにおける“Active installations"が10万以上である - 日本語の翻訳に対応している
深刻度が高い脆弱性:3件
深刻度が高い脆弱性は3件でした。
プラグイン: Advanced Ads - Ad Manager & AdSense
| 対象製品 | Advanced Ads - Ad Manager & AdSense |
| 対象バージョン | 2.0.12までの全てのバージョン |
| 修正バージョン | 2.0.13 |
| CVSS | 高 (7.3) |
| 対応方法 | 2.0.13以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-10487 |
| 公開日 | 2025-10-31 00:00:00 (2025-11-01 06:40:38更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3efe6b81-72db-4419-92a3-26e22ebf46e8 |
2.0.12までの全バージョンに、selectone()関数経由で脆弱性が存在します。これは、AJAXエンドポイントへのアクセスを適切に制限せず、安全な関数のみを呼び出せるように制限していないためです。この脆弱性を悪用することで、認証を受けてない第三者がgettheで始まる任意の関数(例:getthe_excerpt)を呼び出すことが可能となり、情報漏洩を引き起こせます。
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.15.1.1から6.15.9までの全てのバージョン |
| 修正バージョン | 6.15.10 |
| CVSS | 高 (7.5) |
| 対応方法 | 6.15.10以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-12197 |
| 公開日 | 2025-11-04 16:25:23 (2025-11-05 04:37:00更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/bc927a93-0cb2-4211-9f93-c0671039011e |
6.15.1.1から6.15.9のバージョンに、ユーザー提供パラメータのエスケープ処理が不十分であることと、既存のSQLクエリの事前処理が不十分であるため、's'パラメータを介したブラインドSQLインジェクションの脆弱性が存在します。この脆弱性により、認証を受けてない第三者が既存のクエリに追加のSQLクエリを付加することが可能となり、データベースから機密情報を抽出するために悪用できます。
プラグイン: Polylang
| 対象製品 | Polylang |
| 対象バージョン | 3.7.3までの全てのバージョン |
| 修正バージョン | 3.7.4 |
| CVSS | 高 (7.5) |
| 対応方法 | 3.7.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-64353 |
| 公開日 | 2025-10-28 00:00:00 (2025-11-04 14:39:59更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d0abc8f9-7b6f-443d-a17f-8da034359c52 |
3.7.3までの全バージョンに、信頼できない入力の逆シリアライズを介したPHPオブジェクトインジェクションの脆弱性が存在します。寄稿者以上の権限を持つユーザーで認証済の場合に、任意のPHPオブジェクトを挿入できます。なお、このプラグイン単体にはPOPチェインはありません。つまり、WebサイトにPOPチェインを持つ他のプラグインやテーマが存在しない限り、この脆弱性の影響はありません。
もしも、他にインストールされたプラグインやテーマにPOPチェインが存在する場合、攻撃者はそのPOPチェインによっては任意のファイルを削除したり、機密性のデータを取得したり、PHPコードを実行したりすることができます。
他の脆弱性: 15件
他の脆弱性は15件です。
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 3.1.3までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/06eaf624-aedf-453d-8457-d03a572fac0d |
認証を受けてない第三者が 'Bearer Token' を抽出することが可能となり、このトークンを使用して有効なセッションにアクセスし、新しい管理者アカウントの作成など多くの操作を実行できるため、権限昇格につながります。
プラグイン: WooCommerce
| 対象製品 | WooCommerce |
| 対象バージョン | 10.0.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3dbe7a3c-8247-4f1f-aca6-dda4bdcc1daf |
ショップ運営者 (shop-manager) 以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できます。これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響します。
プラグイン: Gutenberg
| 対象製品 | Gutenberg |
| 対象バージョン | 21.8.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3e067b10-aa78-4cef-b3fd-b91595c54a37 |
寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できます。
プラグイン: Post SMTP
| 対象製品 | Post SMTP |
| 対象バージョン | 3.6.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/491f44fc-712c-4f67-b5c2-a7396941afc1 |
認証を受けてない第三者が、Post SMTPプラグイン経由で送信された任意のログ記録済みメール(パスワードリセットリンクを含むパスワードリセットメールを含む)を読み取る可能性があり、アカウント乗っ取りにつながる可能性があります。
プラグイン: TablePress
| 対象製品 | TablePress |
| 対象バージョン | 3.2.4までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4dbd8cac-9e4b-4353-9c62-9cabb60b927c |
寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できます。
プラグイン: Advanced Database Cleaner
| 対象製品 | Advanced Database Cleaner |
| 対象バージョン | 3.1.6までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4f4635ac-2ce6-4135-8d2b-d03b42860f05 |
認証を受けてない第三者が、リンクをクリックするなどの操作を管理者に実行させることで、 keep lastの設定を変更することが可能となります。CVE-2025-64357はこの問題の報告と重複します。
プラグイン: Sticky Header Effects for Elementor
| 対象製品 | Sticky Header Effects for Elementor |
| 象バージョン | 2.1.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5b98173e-0b89-44f9-a238-34a36ed422ac |
寄稿者以上の権限を持つユーザーで認証済の場合に、許可されていないアクションを実行できます。
プラグイン: WP Fastest Cache
| 対象製品 | WP Fastest Cache |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/876efd71-8867-44b8-8017-86fad2a1b89f |
認証を受けてない第三者が、既存のSQLクエリに追加のSQLクエリを付加することで機密情報をデータベースから抜き出すことが可能となります。
プラグイン: Ad Inserter
| 対象製品 | Ad Inserter |
| 対象バージョン | 2.8.7までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8e7831c5-2262-42c9-9655-a43ef2dac54f |
寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できます。
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.15.9までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ab844a05-80e0-42c7-981c-dea3a18cf4d5 |
購読者以上の権限を持つユーザーで認証済の場合に、イベント名のドラフトを表示し、対応するQRコードを生成・表示することができます。
プラグイン: Popup and Slider Builder by Depicter
| 対象製品 | Popup and Slider Builder by Depicter |
| 対象バージョン | 4.0.4までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ae23f287-e4bb-4f97-aebe-18b6d7ad4e58 |
寄稿者以上の権限を持つユーザーで認証済の場合に、影響を受けるサイトのサーバに限定してファイルをアップロードすることが可能となります。
プラグイン: Popup and Slider Builder by Depicter
| 対象製品 | Popup and Slider Builder by Depicter |
| 対象バージョン | 4.0.4までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c54e5cd9-cc51-4367-afe0-11a6abfc0437 |
認証を受けてない第三者が、リンクをクリックするなどの操作を管理者に実行させることで、 ドキュメントルールの設定を変更することが可能となります。
プラグイン: Rank Math SEO
| 対象製品 | Rank Math SEO |
| 対象バージョン | 1.0.252.1までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/cbfd8d72-ce1a-4366-9d1b-13c8c5fe8b71 |
投稿者以上の権限を持つユーザーで認証済の場合に、許可されていないアクションを実行できます。
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.15.9までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e5f3feb7-547e-4c01-8453-a1fc207ee009 |
認証を受けてない第三者が、 "Yes, automatically share my system information with The Events Calendar support team" 設定が有効な場合に、ブール値 (boolean value) を送信して完全なシステムレポートを取得できます。
プラグイン: Rank Math SEO
| 対象製品 | Rank Math SEO |
| 対象バージョン | 1.0.252.1までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ec3f2bf3-4fa5-4ee5-901c-c72a73a1ec8b |
購読者以上の権限を持つユーザーで認証済の場合に、機密性の高いユーザー情報や設定情報を抽出することが可能となります。
総括
2025年10月30日~2025年11月5日に報告された脆弱性18件のうち、8件は認証を受けていない第三者 (誰でも攻撃できる) に影響を及ぼす脆弱性で、10件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。
深刻度が高い脆弱性を含めて、誰もが悪用して攻撃を引き起こせる脆弱性が多く報告されています。深刻度が高くない脆弱性も含めて、速やかにアップデートを適用するようにしてください。
今回報告されている深刻度が高い脆弱性のうち、POPチェイン、ブラインドSQLインジェクションについては以前の説明を参照してください。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
Windows 10の拡張セキュリティ更新プログラムで問題発生、国内ユーザーにも影響か
