こんにちは。プライム・ストラテジーの相馬理紗です。
ここ最近、WordPressの脆弱性に関する報告がすごく増えています。本連載で脆弱性情報を見てくださっている皆さんは、しっかりアップデートまで対応されていると思いますが、アップデートの見落としがないように注意してくださいね。
今回は、2025年11月13日~2025年11月19日日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。 - WordPress.orgにおける“Active installations"が10万以上である - 日本語の翻訳に対応している
深刻度が高い脆弱性: 5件
深刻度が高い脆弱性は5件でした。
プラグイン: Import any XML, CSV or Excel File to WordPress
| 対象製品 | Import any XML, CSV or Excel File to WordPress |
| 対象バージョン | 3.9.6までの全てのバージョン |
| 修正バージョン | 4.0.0 |
| CVSS | 高 (8.8) |
| 対応方法 | 4.0.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-12733 |
| 公開日 | 2025-11-12 00:00:00 (2025-11-13 03:27:38更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8475dd90-b47a-42b4-8e4e-44e8512e4fca |
3.9.6までの全バージョンに、リモートコード実行の脆弱性が存在します。これは helpers/functions.php 内の pmxi_if 関数において、検証されていないユーザー入力に対して eval() が使用されていることに起因します。
インポートの権限グループを持つユーザーで認証済みの場合(通常は管理者)に、細工されたインポートテンプレートを介してサーバ上で任意のPHPコードを注入・実行することが可能となります。これによりリモートコードを実行されてします可能性があります。
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.13.0までの全てのバージョン |
| 修正バージョン | 4.13.1 |
| CVSS | 高 (7.2) |
| 対応方法 | 4.13.1以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-13206 |
| 公開日 | 2025-11-18 00:00:00 (2025-11-19 07:46:08更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/95823720-e1dc-46c1-887b-ffd877b2fbe5 |
4.13.0までの全バージョンに、入力のサニタイズと出力のエスケープが不十分であるため、Stored Cross-Site Scriptingの脆弱性が存在します。認証を受けていない第三者がこの脆弱性を悪用することで、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入することが可能になります。この脆弱性を悪用するには、WordPressのインストール環境でAvatarが有効化されている必要があります。
プラグイン: WP Go Maps (formerly WP Google Maps)
| 対象製品 | WP Go Maps (formerly WP Google Maps) |
| 対象バージョン | 9.0.47までの全てのバージョン |
| 修正バージョン | 9.0.48 |
| CVSS | 高 (7.2) |
| 対応方法 | 9.0.48以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-11307 |
| 公開日 | 2025-10-21 00:00:00 (2025-11-17 18:37:01更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b7eb9e6e-52d7-41d2-b51f-5cc5b7f3dd40 |
9.0.47までの全バージョンに、入力のサニタイズと出力のエスケープが不十分であるため、Stored Cross-Site Scriptingの脆弱性が存在します。認証を受けていない第三者がこの脆弱性を悪用することで、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入することが可能になります。
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 3.1.8までの全てのバージョン |
| 修正バージョン | 3.1.9 |
| CVSS | 高 (7.1) |
| 対応方法 | 3.1.9以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-12844 |
| 公開日 | 2025-11-12 00:00:00 (2025-11-13 07:27:55更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c39c1b72-e3e0-44fb-8fb8-602cb0aa61e3 |
3.1.8までの全バージョンに、 'restsimpleTranscribeAudio' 関数、および、 'restsimpleVisionQuery' 関数内の信頼できない入力のデシリアライズ処理を経由したPHARのデシリアライズによるPHPオブジェクトインジェクションの脆弱性が存在します。購読者以上の権限を持つユーザーで認証済の場合に、任意のPHPオブジェクトを挿入できます。
なお、このプラグイン単体にはPOPチェインはありません。つまり、WebサイトにPOPチェインを持つ他のプラグインやテーマが存在しない限り、この脆弱性の影響はありません。
もしも、他にインストールされたプラグインやテーマにPOPチェインが存在する場合、攻撃者はそのPOPチェインによっては任意のファイルを削除したり、機密性のデータを取得したり、PHPコードを実行したりすることができます。
プラグイン: Code Snippets
| 対象製品 | Code Snippets |
| 対象バージョン | 3.9.1までの全てのバージョン |
| 修正バージョン | 3.9.2 |
| CVSS | 高 (8) |
| 対応方法 | 3.9.2以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-13035 |
| 公開日 | 2025-11-18 19:03:25 (2025-11-19 10:49:08更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c7c7247c-2fc3-46ff-858e-2242b7211476 |
3.9.1までの全バージョンにおいてPHPコードインジェクションの脆弱性があります。これは、 'evaluateshortcodefromflatfile 'メソッド内で攻撃者が制御するショートコード属性に対して 'extract()' 関数が使用されているためで、 '$filepath' 変数が上書きされ、その後require_onceに渡される可能性があります。
寄稿者以上の権限を持つユーザーで認証済の場合に、管理者に対して「ファイルベースの実行を有効にする」設定を有効化させ、かつ少なくとも1つのアクティブなコンテンツスニペットを作成させることに成功した場合に、PHPフィルターチェーンを利用した '[code_snippet]' ショートコード経由でサーバー上で任意のPHPコードを実行することが可能となります。
他の脆弱性: 11件
他の脆弱性は11件です。
プラグイン: YITH WooCommerce Wishlist
| 対象製品 | YITH WooCommerce Wishlist |
| 対象バージョン | 4.10.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0088a97c-5a06-4500-a923-242499596aca |
認証を受けていない第三者がこの脆弱性を悪用することで、任意のユーザーのウィッシュリストトークンを漏洩させ、共有ウィッシュリストページで公開されているdelete_item nonceとAJAXハンドラのオブジェクトレベル認証チェックの欠如を組み合わせてREST API認証バイパスを連鎖させることで、ウィッシュリストアイテムを削除することが可能になります。
プラグイン: Broken Link Checker by AIOSEO
| 対象製品 | Broken Link Checker by AIOSEO |
| 対象バージョン | 1.2.5までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0254cd1b-f8f6-400e-a48e-81bd553fe8d1 |
寄稿者以上の権限を持つユーザーで認証済の場合、DELETE /wp-json/aioseoBrokenLinkChecker/v1/post エンドポイントを通じて任意の投稿を削除できます。
プラグイン: All in One SEO
| 対象製品 | All in One SEO |
| 対象バージョン | 4.8.9までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/05abc09f-903b-45a9-8cde-1bf8fd5d7d44 |
寄稿者以上の権限を持つユーザーで認証済の場合に、有効な添付ファイルIDを特定できる場合に限り、REST APIを介してID指定による任意のメディア添付ファイルを恒久的に削除できます。
プラグイン: AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 3.1.8までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3b497bc0-bf47-43c7-9d5f-8e130dd0bab2 |
編集者以上の権限を持つユーザーで認証済の場合に、Webアプリケーションから任意の場所へのWebリクエストを送信できるようになり、内部サービスからの情報の照会や変更に悪用することが可能になります。Cloudのインスタンスでは、この問題によりメタデータの取得が可能となります。
プラグイン: GiveWP
| 対象製品 | GiveWP |
| 対象バージョン | 4.6.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6dc7c5a6-513e-4aa8-9538-0ac6fb37c867 |
認証を受けていない第三者がこの脆弱性を悪用すると、ドナーの名前、メールアドレス、ドナーIDを取り出すことができます。CVE-2025-47444 はこの脆弱性の重複。
プラグイン: Responsive Lightbox & Gallery
| 対象製品 | Responsive Lightbox & Gallery |
| 対象バージョン | 2.5.3までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7f4c0bd6-f289-4a52-ac11-345076c32d84 |
投稿者以上の権限を持つユーザーで認証済の場合に、Webアプリケーションを起点として任意の場所へのWebリクエストを発行できるようになり、内部サービスからの情報の照会や変更に悪用できます。
プラグイン: VK All in One Expansion Unit
| 対象製品 | VK All in One Expansion Unit |
| 対象バージョン | 9.112.1までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8996a0f0-8a49-4310-917b-62172c12afdb |
寄稿者以上の権限を持つユーザーで認証済の場合、この脆弱性を悪用することで、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できます。
プラグイン: VK All in One Expansion Unit
| 対象製品 | VK All in One Expansion Unit |
| 対象バージョン | 9.112.1までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9e5a6158-03d4-4ac7-8a4b-666cedabb433 |
寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できます(※上記とは異なる脆弱性)。
プラグイン: Nextend Social Login and Register
| 対象製品Nextend Social Login and Register | |
| 対象バージョン | 3.1.19までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a3b5c7ec-eb6a-492e-962f-6ed47ee7f1f2 |
寄稿者以上の権限を持つユーザーで認証済の場合に、この脆弱性を悪用すると、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入可能になります。
プラグイン: Post Type Switcher
| 対象製品 | Post Type Switcher |
| 対象バージョン | 4.0.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d875514c-c7d3-4236-842b-6e772048448d |
投稿者以上の権限を持つユーザーで認証済の場合に、自身が所有していない任意の投稿やページ(管理者によって作成されたものを含む)の投稿タイプを変更することが可能となり、サイトの混乱、ナビゲーションの破損、SEOへの影響を引き起こす可能性があります。
プラグイン: YITH WooCommerce Wishlist
| 対象製品 | YITH WooCommerce Wishlist |
| 対象バージョン | 4.10.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ffdb95ac-6b22-44a9-bd5c-b802a2d908d7 |
認証を受けていない第三者が任意のユーザーのウィッシュリストトークンIDを特定し、その後、被害者のウィッシュリストを無断で改名することが可能となります(完全性への影響)。
この脆弱性は、マルチユーザーストアを対象とした改ざん、ソーシャルエンジニアリング攻撃、大規模な改変、およびプロファイリングを大規模に行うために悪用できます。
総括
今回紹介した脆弱性16件のうち、5件は認証を受けていない第三者 (つまり、誰でも攻撃できる) に影響を及ぼす脆弱性で、16件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。
深刻度が高い脆弱性のうち、Import any XML, CSV or Excel File to WordPressとAI Engineについては、先週の報告の更新版となります。他の3件はいずれも新しい報告となりますので、速やかにアップデートを適用するようにしてください。そのほか、引き続き誰もが攻撃に悪用できる脆弱性が多く報告されています。
投稿の削除や改ざん、内部サービスからの情報取得やリモートコード実行が可能となるものなど、条件によってはサイトに大きな影響を及ぼす可能性がある脆弱性であるため、アップデートを行い、最新版を維持するようにしてください。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
SSDの放置でデータ消失の恐れ、不遇を回避する対策は
