こんにちは。プライム・ストラテジーの相馬理紗です。
今回は、2026年2月12日~2026年2月18日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。
- WordPress.orgにおける“Active installations"が10万以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 1件
深刻度が高い脆弱性は1件でした。
プラグイン: BackWPup
| 対象製品 | BackWPup |
| 対象バージョン | 5.6.2までの全てのバージョン |
| 修正バージョン | 5.6.3 |
| CVSS | 高 (7.2) |
| 対応方法 | 5.6.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-15041 |
| 公開日 | 2026-02-18 00:00:00 (2026-02-18 16:25:34更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2ab8f440-2910-41a3-8bbc-afb4cafd33b5 |
5.6.2までの全バージョンに、'save_site_option()' 関数において権限チェックが欠落していることによる、データの不正な変更および権限昇格につながる脆弱性が存在します。
level以上 (※原文のまま) の権限を持つユーザーで認証済みの場合に、WordPress サイトの任意のオプションを更新することが可能となります。これにより、新規登録ユーザーのデフォルト権限を管理者に変更し、ユーザー登録を有効化することで、攻撃者が管理者権限を取得することが可能となります。
他の脆弱性: 14件
他の脆弱性は14件です。
プラグイン: Converter for Media
| 対象製品 | Converter for Media |
| 対象バージョン | 6.5.1までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/188d812c-2955-4b0c-ae1c-b42c0f60b73b |
認証を受けていないユーザーが、Webアプリケーションを起点として任意の宛先へWebリクエストを送信でき、内部サービスの情報取得や変更を行うことが可能となります。
プラグイン: VK All in One Expansion Unit
| 対象製品 | VK All in One Expansion Unit |
| 対象バージョン | 9.112.3までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1e7efb39-fada-4167-825c-21cc31948a63 |
寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となります。
プラグイン: PDF Invoices & Packing Slips for WooCommerce
| 対象製品 | PDF Invoices & Packing Slips for WooCommerce | |
| 対象バージョン | 5.6.0までの全てのバージョン | |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2e1922c6-e63b-47aa-97de-1e2382fa25d | 3 |
購読者以上の権限を持つユーザーで認証済みの場合に、Peppol請求を利用している環境において任意の 'order_id' パラメータを指定することで、任意の顧客の Peppol/EDIエンドポイント識別子('peppol_endpoint_id'、'peppol_endpoint_eas')を変更することが可能となります。これにより、Peppol ネットワーク上の注文ルーティングに影響を与え、支払いの混乱や情報漏えいが発生する可能性があります。
プラグイン: Yoast Duplicate Post
| 対象製品 | Yoast Duplicate Post |
| 対象バージョン | 3.2.4までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/32272237-43c1-4b77-b586-9fad4af279e4 |
管理者などの高い権限を持つユーザーで認証済みの場合に、'duplicate_post_title_prefix' などの複数のパラメータを介して管理画面ページへ任意のウェブスクリプトを挿入することが可能となります。なお、この脆弱性はマルチサイト構成、または unfiltered_html が無効化されている環境にのみ影響を及ぼします。
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.46までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3cb84ba3-b403-4a9d-b1a7-92aa947310ac |
認証を受けていない状態でも、ユーザーにリンクをクリックさせるなどの操作を行わせることに成功した場合に、ページへ任意のウェブスクリプトを挿入し実行させることが可能となります。
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.50.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4ada2055-3c4a-4b6f-8803-2eac8ede5ec7 |
管理者権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となります。また、このプラグインでは管理者がフォーム管理権限を下位権限ユーザーに付与できるため、設定によっては購読者などのユーザーによって悪用される可能性があります。
プラグイン: Popup Builder
| 対象製品 | Popup Builder |
| 対象バージョン | 4.4.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/62b29721-0580-4e1d-824d-9b8355890248 |
認証を受けていないユーザーでも、被害者のメールアドレスを把握している場合に、配信停止トークンを総当たりで推測することで、任意の購読者をメーリングリストから配信停止させることが可能となります。
プラグイン: Breadcrumb NavXT
| 対象製品 | Breadcrumb NavXT |
| 対象バージョン | 7.5.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/62e25985-ac19-41a5-8027-eb053f4a6490 |
認証を受けていないユーザーでも'post_id' パラメータを操作することで、下書きまたは非公開投稿のパンくずリストを列挙・閲覧でき、本来公開されるべきではない投稿タイトルや階層構造を取得することが可能となります。
プラグイン: Easy Table of Contents
| 対象製品 | Easy Table of Contents |
| 対象バージョン | 2.0.78までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7205c238-4419-4292-8f9c-4ccf5b69dd60 |
寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となります。
プラグイン: WP All Export
| 対象製品 | WP All Export |
| 対象バージョン | 1.4.14までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9a92c682-b8b3-4d23-bd84-97d7440ee525 |
認証を受けてないユーザーでも、期待されるMD5 ハッシュの接頭辞が数値形式(^0e\d+$ に一致)となる場合に「magic hash」値を用いて認証を回避し、個人情報(PII)や業務データ、データベース情報を含む機密なエクスポートファイルをダウンロードすることが可能となります。
プラグイン: Advanced Ads - Ad Manager & AdSense
| 対象製品 | Advanced Ads - Ad Manager & AdSense |
| 対象バージョン | 2.0.14までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/a1ad32fb-929e-4181-8789-df50a77a71ef |
購読者以上の権限を持つユーザーで認証済みの場合に、広告の配置設定を更新でき、表示される広告または広告グループを変更することが可能となる。
プラグイン: Ultimate Member
| 対象製品 | Ultimate Member |
| 対象バージョン | 2.11.1までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ba62b804-f101-4e29-8304-fb2b7dad333c |
認証されていないユーザーでも、ユーザーにリンクをクリックさせるなどの操作を行わせることに成功した場合に、ページへ任意のウェブスクリプトを挿入し実行させることが可能となります。
プラグイン: Spam protection, Honeypot, Anti-Spam by CleanTalk
| 対象製品 | Spam protection, Honeypot, Anti-Spam by CleanTalk |
| 対象バージョン | 6.71までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/cb603be6-4a12-49e1-b8cc-b2062eb97f16 |
認証されていないユーザーでも任意のプラグインをインストールおよび有効化することが可能となり、他に脆弱なプラグインがインストール・有効化されている場合にはリモートコード実行につながる可能性があります。なお、この脆弱性はAPI キーが無効なサイトにのみ影響を及ぼします。
プラグイン: Yoast Duplicate Post
| 対象製品 | Yoast Duplicate Post |
| 対象バージョン | 3.2.3までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e8e2519e-89cc-455f-921c-fe6b10f1dc26 |
管理者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となります。なお、この脆弱性はマルチサイト構成、または unfiltered_html が無効化されている環境にのみ影響を及ぼします。
総括
今回報告された脆弱性には、権限チェックの欠落による設定の改ざんや権限昇格、任意のウェブスクリプトの実行(クロスサイトスクリプティング)、認証回避、内部サービスへの不正なリクエスト送信、機密情報を含むファイルの取得などが含まれています。magic hashを悪用した認証回避や、任意のプラグインのインストール・有効化が可能となる脆弱性など、影響範囲が広がりやすいものも含まれています。
特に、BackWPupプラグインの 'save_site_option()' における権限チェックの欠落は、登録ユーザーのデフォルト権限を管理者に変更できる可能性があり、条件次第では管理者アカウントの取得につながるおそれがあります。原文では必要となる権限が明確に書かれていない (※原文は with level access and above) ことから、注意が必要です。
深刻度が高くないものの、認証されていない状態で悪用可能な脆弱性が多く報告されました。放置していると、条件によっては情報漏えいやサイト改ざん、管理者権限の取得につながる可能性があります。使用しているプラグインに該当するものがある場合は、速やかにアップデートを行い、最新版を維持するようにしてください。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
Microsoft、2月の月例更新プログラム「KB5077181」に複数の不具合の可能性
