2026年1月29日～2026年2月4日に報告があったWordPress脆弱性関連情報

こんにちは。プライム・ストラテジーの相馬理紗です。 WordPress7.0のリリース予定日が公開されましたね。どんな機能が追加されるのかはまだ発表されてはいませんが、今から楽しみですね。

今回は、22026年1月29日～2026年2月4日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。

• WordPress.orgにおける“Active installations"が10万以上である
• 日本語の翻訳に対応している

深刻度が高い脆弱性: 1件

深刻度が高い脆弱性は1件でした。

プラグイン: Tutor LMS

3.9.5までの全バージョンに、course_list_bulk_action()、bulk_delete_course()、update_course_status() 関数においてオブジェクト単位の権限チェックが欠落していることによる、Insecure Direct Object References（IDOR）の脆弱性が存在します。

Tutor インストラクター以上の権限を持つユーザーで認証済みの場合に、一括操作リクエスト内のコース ID を操作することで、自身が所有していない任意のコースを変更または削除することが可能となります。

他の脆弱性: 4件

他の脆弱性は4件です。

プラグイン: ShortPixel Image Optimizer

編集者以上の権限を持つユーザーで認証済みの場合に、サーバ上の任意のファイルの内容を読み取ることができ、データベースの認証情報や認証キーなどの機密情報を取得することが可能となります。

プラグイン: Fluent Forms

認証されていないユーザーでも、この脆弱性の悪用により任意のショートコードを実行することが可能となります。

プラグイン: Tutor LMS

カスタム以上の権限を持つユーザーで認証済みの場合に、許可されていない操作を実行することが可能となります。

プラグイン: Tutor LMS

購読者以上の権限を持つユーザーで認証済みの場合に、クーポンコード、割引額、使用状況、コースやバンドルへの適用情報などの機密なクーポン情報を取得することが可能となります。

総括

2026年1月29日～2026年2月4日に報告された脆弱性5件のうち、1件は認証を受けていないユーザー（つまり、すべての人）に影響を及ぼす脆弱性で、4件は少なくとも購読者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。

今回報告された脆弱性には、権限チェックの欠落による不正な操作、機密情報の取得、任意のショートコード実行などが含まれています。特に、認証を受けていない状態で悪用可能な脆弱性や、比較的低い権限のユーザーから機密情報へアクセスできる脆弱性が含まれている点には注意が必要です。

Tutor LMSには3件の脆弱性が報告されています。深刻な脆弱性ばかりではありませんが、投稿やコースの改ざん、機密情報の取得などにつながる可能性があるものが報告されています。条件によってはサイトに大きな影響を及ぼす可能性がありますので、該当するプラグインを利用している場合は、速やかにアップデートを行い、最新版を維持するようにしてください。