lead=WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。今回は、2026年1月15日~2026年1月21日に報告があったWordPressの脆弱性を紹介します。
こんにちは。プライム・ストラテジーの相馬理紗です。最近、本当に脆弱性が増えています。
日本の利用者に影響がある脆弱性をピックアップしている本連載からはあまり実感が持てないかもしれませんが、「Wordfence」の週次レポートでは、2026年1月12日~2026年1月18日において170件もの脆弱性が公開されているようです。
プラグインやテーマなど、常に最新のものを利用するなど意識し、安全にWordPressを運用していきましょうね。
今回は、2026年1月15日~2026年1月21日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。
- WordPress.orgにおける“Active installations"が10万以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
深刻度が高い脆弱性は1件でした。
プラグイン:Ninja Forms
| 対象製品 | Ninja Forms |
| 対象バージョン | 3.13.2までの全てのバージョン |
| 修正バージョン | 3.13.3 |
| CVSS | 高 (7.5) |
| 対応方法 | 3.13.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-14072 |
| 公開日 | 2025-12-12 00:00:00(2026-01-21 16:53:08更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/89f7c342-1526-4702-88ac-ce37d158d9b2 |
3.13.2までの全バージョンに、データへの不正アクセスが可能な脆弱性が存在します。これは、/ninja-forms-views/token/refresh関数に対する権限チェックが欠落していることに起因します。この脆弱性を悪用すると、認証を受けていないユーザーでも、トークンを生成して任意のフォーム送信内容を閲覧することが可能となります。これはCVE-2025-11924の重複報告です。
他の脆弱性: 7件
他の脆弱性は7件です。
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.4までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0e475e02-494a-4ad0-a83c-d027c3a32989 |
購読者以上の権限を持つユーザーで認証済みの場合に、サイト上の任意の添付ファイルを削除することが可能となります。
プラグイン: WooCommerce
| 対象製品 | WooCommerce |
| 対象バージョン | 10.0から10.0.4までの全てのバージョン、10.1から10.1.2までの全てのバージョン、10.2から10.2.2までの全てのバージョン、10.3から10.3.6までの全てのバージョン、8.1から8.1.2までの全てのバージョン、8.2から8.2.3までの全てのバージョン、8.3から8.3.2までの全てのバージョン、8.4から8.4.1までの全てのバージョン、8.5から8.5.3までの全てのバージョン、8.6から8.6.2までの全てのバージョン、8.7から8.7.1までの全てのバージョン、8.8から8.8.5までの全てのバージョン、8.9から8.9.3までの全てのバージョン、9.0から9.0.2までの全てのバージョン、9.1から9.1.4までの全てのバージョン、9.2から9.2.3までの全てのバージョン、9.3から9.3.4までの全てのバージョン、9.4から9.4.3までの全てのバージョン、9.5から9.5.2までの全てのバージョン、9.6から9.6.2までの全てのバージョン、9.7から9.7.1までの全てのバージョン、9.8から9.8.5までの全てのバージョン、9.9から9.9.5までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/137327c8-01cb-4074-9424-89d826a9586e |
購読者以上の権限を持つユーザーで認証済みの場合に、機密性の高いユーザーデータや設定データを抽出できます。
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.15.13までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/346a5b00-fb76-4413-a935-a2df4dc51984 |
購読者以上の権限を持つユーザーで認証済みの場合に、Cutom Tables V1データベース移行を開始、キャンセル、または元に戻すことが可能となる。これには、元に戻す操作を通じてカスタムデータベーステーブルを完全に削除することも含まれます。
プラグイン: Photo Gallery by 10Web
| 対象製品 | Photo Gallery by 10Web |
| 対象バージョン | 1.8.36までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4eb2ae42-584d-4da8-9184-461b5a37b7b6 |
認証されていないユーザーでも、任意の画像コメントを削除することが可能になります。なお、コメント機能はプラグインのPro版でのみ利用できます。
プラグイン: Advanced Ads - Ad Manager & AdSense
| 対象製品 | Advanced Ads - Ad Manager & AdSense |
| 対象バージョン | 2.0.15までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/729e8a06-abaa-4468-8a80-1e5c6cbace92 |
管理者以上の権限を持つユーザーで認証済みの場合に、既存のSQLクエリに追加のSQLクエリを挿入することが可能となり、データベースから機密情報を抽出するために悪用できます。
プラグイン: Advanced Custom Fields: Extended
| 対象製品 | Advanced Custom Fields: Extended |
| 対象バージョン | 0.9.2.1までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d44f8af2-3525-4b00-afa8-a908250cc838 |
認証されていないユーザーが、登録時に「管理者」ロールを指定し、サイトへの管理者アクセス権を取得することができます。なお、この脆弱性は、 'role' がカスタムフィールドにマッピングされている場合にのみ悪用可能です。
プラグイン: All in One SEO
| 対象製品 | All in One SEO |
| 対象バージョン | 4.9.2までの全てのバージョン(All in One SEO - Powerful SEO Plugin to Boost SEO Rankings & Increase Traffic) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f47d53e1-42ac-425e-a6f2-901a6d26845d |
寄稿者以上の権限を持つユーザーで認証済みの場合に、グローバルAIアクセストークンを漏洩させることができます。
総括
2026年1月15日~2026年1月21日に報告された脆弱性8件のうち、3件は認証を受けていないユーザー (誰でも攻撃できる) に影響を及ぼす脆弱性で、5件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。
引き続き、誰もが攻撃することを可能にする脆弱性が多く報告されています。深刻度が高くない脆弱性であっても、条件によってはサイトに大きな影響を及ぼす可能性があります。速やかにアップデートを行い、最新版を維持するようにしてください。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
Windows 11の1月更新プログラム「KB5074109」でPCが起動に失敗する可能性
