こんにちは。プライム・ストラテジーの相馬理紗です。遅くなりましたが、本年もどうぞよろしくお願いいたします。

今回も深刻度が高い脆弱性が3件と多く報告されています。本稿で紹介している情報をチェックして終わるのではなく、プラグイン・テーマの更新までしっかり対応してくださいね。

今回は、2025年12月11日~2025年12月17日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。

  • WordPress.orgにおける“Active installations"が10万以上である
  • 日本語の翻訳に対応している

深刻度が高い脆弱性:3件

深刻度が高い脆弱性は3件でした。

プラグイン: Download Manager

対象製品 Download Manager
対象バージョン 3.3.40までの全てのバージョン
修正バージョン 3.3.41
CVSS 高 (7.3)
対応方法 3.3.41以降にアップデートする
CVE https://www.cve.org/CVERecord?id=CVE-2025-15364
公開日 2026-01-05 13:11:34 (2026-01-06 01:50:12更新)
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/067031e8-6aa8-451c-a318-b1848c7a4f92

3.3.40までの全バージョンに、アカウント乗っ取りによる権限昇格の脆弱性が存在します。これは、パスワードなどの詳細情報を更新する前に、プラグインがユーザーの身元を適切に検証しないことに起因します。

認証を受けていないユーザーが管理者以外のユーザーのパスワードを変更し、それを悪用してアカウントへのアクセス権を取得することが可能となります。

プラグイン: Ninja Forms

対象製品 Ninja Forms
対象バージョン 3.13.2までの全てのバージョン
修正バージョン 3.13.3
CVSS 高 (7.5)
対応方法 3.13.3以降にアップデートする
CVE https://www.cve.org/CVERecord?id=CVE-2025-14072回
公開日 2025-12-12 00:00:00 (2026-01-06 16:31:53更新)
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/89f7c342-1526-4702-88ac-ce37d158d9b2

3.13.2までの全バージョンに、 /ninja-forms-views/token/refresh 関数に対する権限チェックが欠落しているため、データへの不正アクセスを可能にする脆弱性が存在します。

認証を受けていないユーザーがトークンを生成し、任意のフォーム送信内容を閲覧することが可能となります。

プラグイン: Advanced Ads - Ad Manager & AdSense

対象製品 Advanced Ads - Ad Manager & AdSense
対象バージョン 2.0.14までの全てのバージョン
修正バージョン 2.0.15
CVSS 高 (7.2)
対応方法 2.0.15以降にアップデートする
CVE https://www.cve.org/CVERecord?id=CVE-2025-13592
公開日 2025-12-29 06:04:25 (2025-12-29 18:20:51更新)
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/f9e83561-aa71-4984-8a26-207e208d70e8

2.0.14までの全バージョンにおいて、「change-ad__content」ショートコードパラメータを介したリモートコード実行の脆弱性が存在します。 編集者以上の権限を持つユーザーで認証済みの場合に、サーバー上でコードを実行することが可能となります。

他の脆弱性: 7件

他の脆弱性は7件です。

プラグイン: Tutor LMS

対象製品 Tutor LMS
対象バージョン 3.9.3までの全てのバージョン
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/0830d0c3-99c0-423e-99ab-f0c1cbec52d9

購読者以上の権限を持つユーザーで認証済みの場合に、攻撃者が注文IDを列挙し、学生名、メールアドレス、電話番号、請求先住所などの機密データ(個人識別情報)を不正に取得することが可能となります。

プラグイン: Crowdsignal Forms

対象製品 Crowdsignal Forms
対象バージョン 1.7.2までの全てのバージョン
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/53d12736-56d3-454f-9593-74f758d0605d

投稿者以上の権限を持つユーザーで認証済みの場合に、不正な操作を実行することが可能となります。

プラグイン: Astra Widgets

対象製品 Astra Widgets
対象バージョン 1.2.16までの全てのバージョン
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/b28634d1-6489-4ac2-9d64-2b7409fd462e

編集者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびに実行される、任意のウェブスクリプトをページに挿入できる。これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する。

プラグイン: WebP Express

対象製品 WebP Express
対象バージョン 0.25.9までの全てのバージョン
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/c28479bf-768a-4ab4-8e74-ad367b9b744f

認証されていないユーザーが、設定データを抽出することが可能となります。

プラグイン: TI WooCommerce Wishlist

対象製品 TI WooCommerce Wishlist
対象バージョン 2.10.0までの全てのバージョン
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/cc938f6b-29fd-4f4f-b569-8b81a607ad47

認証されていないユーザーが、不正な操作を実行することが可能となります。

プラグイン: GiveWP

対象製品 GiveWP
対象バージョン 4.13.1までの全てのバージョン
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/e6a7ec29-6dc6-4c73-8cc4-4aa4da79941e

認証されていないユーザーがリンクをクリックするなどの操作を管理者に実行させることで、不正な操作を実行できるようになります。

プラグイン: Fluent Forms

対象製品 Fluent Forms
対象バージョン 6.1.7までの全てのバージョン
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/f7dbf179-7099-4dfb-8dad-780f996a7005

購読者以上の権限を持つユーザーで認証済の場合に、公開されているAI builderを通じて任意のフォームを作成することが可能となります。

総括

今回は、年末年始の休業があったため、2週間分の情報をまとめてお届けしました。

2025年12月25日~2026年1月7日に報告された脆弱性10件のうち、5件は認証を受けていないユーザー (誰でも攻撃できる) に影響を及ぼす脆弱性で、5件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。

操作の内容が限られてはいるものの、誰もが悪用できる脆弱性が多く報告されています。速やかにアップデートを適用し、最新版を維持するようにしてください。

また、認証済のユーザーが悪用できる脆弱性への対策としても、引き続き、管理画面を保護する、強固なパスワードを利用するなどの基本的な対策を行ってください。

著者プロフィール

相馬理紗


WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。