こんにちは。GMOプライム・ストラテジーの相馬理紗です。
WordPress 7.0のベータ版が続々とリリースされていますね。AI機能やエディタの新機能など様々な機能が追加されているようです、とても楽しみですね。 今回は、2026年2月26日~2026年3月4日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。 - WordPress.orgにおける“Active installations"が10万以上である - 日本語の翻訳に対応している
深刻度が高い脆弱性件:3件
深刻度が高い脆弱性は3件でした。
プラグイン: Tutor LMS
| 対象製品 | Tutor LMS |
| 対象バージョン | 3.9.6までの全てのバージョン |
| 修正バージョン | 3.9.7 |
| CVSS | 高 (7.5) |
| 対応方法 | 3.9.7以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-13673 |
| 公開日 | 2026-02-27 18:54:35 (2026-02-28 07:25:36更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/007df869-dacb-4b0a-9c98-50586934cdab |
3.9.6までの全バージョンに、ユーザーが指定する 'coupon_code' パラメータのエスケープ処理が不十分であり、既存のSQLクエリに対する適切なプリペアド処理が行われていないことによるSQLインジェクションの脆弱性が存在します。
この脆弱性を悪用すると、認証を受けていないユーザーが既存のクエリに追加のSQLクエリを挿入することで、データベースから機密情報を取得可能となります。なお、この脆弱性はバージョン3.9.4および3.9.6で部分的に修正されています。
プラグイン: WP Mail Logging
| 対象製品 | WP Mail Logging |
| 対象バージョン | 1.15.0までの全てのバージョン |
| 修正バージョン | 1.16 |
| CVSS | 高 (7.5) |
| 対応方法 | 1.16以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-2471 |
| 公開日 | 2026-02-27 17:58:35 (2026-02-28 06:27:45更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/10e4c52d-c82f-4393-9a56-5714b3a108d1 |
1.15.0までの全バージョンに、メールログのメッセージフィールドから取得した信頼できない入力をデシリアライズすることによるPHPオブジェクトインジェクションの脆弱性が存在します。これは、BaseModel クラスのコンストラクタが、データベースから取得したすべてのプロパティに対して検証を行わずに maybe_unserialize() を呼び出していることが原因です。
この脆弱性を悪用すると、認証を受けてないユーザーが、メール送信を行う公開フォーム(例: Contact Form 7 など)を通じて二重にシリアライズされたペイロードを送信することで、PHPオブジェクトを注入することが可能になります。送信されたメールがログに記録され、そのログを管理者が閲覧した際に、悪意のあるペイロードが任意のPHPオブジェクトとしてデシリアライズされます。
なお、ソフトウェア自体には既知のPOPチェーンは存在しないため、他のプラグインやテーマにPOPチェーンが含まれていない場合、影響は限定的です。しかし、対象システムにPOPチェーンを含むプラグインやテーマがインストールされている場合には、任意のファイルの削除、機密情報の取得、コード実行などが行われてしまう可能性があります。
プラグイン: Page Builder by SiteOrigin
| 対象製品 | Page Builder by SiteOrigin |
| 対象バージョン | 2.33.5までの全てのバージョン |
| 修正バージョン | 2.34.0 |
| CVSS | 高 (8.8) |
| 対応方法 | 2.34.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-2448 |
| 公開日 | 2026-03-02 13:14:54 (2026-03-03 01:21:50更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/deeeb78d-1757-44ec-968b-968d919b84f1 |
2.33.5までの全バージョンに、locate_template() 関数を介したローカルファイルインクルードの脆弱性が存在します。
寄稿者以上の権限を持つユーザーで認証済みの場合に、サーバ上の任意のファイルを読み込み実行することが可能となり、それらのファイルに含まれる任意のPHPコードを実行できる可能性があります。これにより、アクセス制御の回避や機密情報の取得が可能となるほか、画像などの「安全」と見なされるファイル形式をアップロードして読み込ませることができる環境では、コード実行につながる可能性があります。
他の脆弱性:6件
他の脆弱性は6件です。
プラグイン: Shortcoder - Create Shortcodes for Anything
| 対象製品 | Shortcoder - Create Shortcodes for Anything |
| 対象バージョン | 6.5.1までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/098177e8-2d81-4a9f-bcf4-5f649c9c47ca |
寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となります。
プラグイン: Enable Media Replace
| 対象製品 | Enable Media Replace |
| 対象バージョン | 4.1.7までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/2c5f2dc8-67f7-4dbf-8631-f434522f1b53 |
投稿者以上の権限を持つユーザーで認証済みの場合に、削除された背景画像の添付ファイルを用いて任意の添付ファイルを置き換えることが可能となります。
プラグイン: Website Builder by SeedProd - Theme Builder, Landing Page Builder, Coming Soon Page, Maintenance Mode
| 対象製品 | Website Builder by SeedProd - Theme Builder, Landing Page Builder, Coming Soon Page, Maintenance Mode |
| 対象バージョン | 6.19.8までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/32ce92b9-8c9c-4a7e-9580-00a564500e30 |
認証を受けていないユーザーが権限のない操作を実行することが可能となります。
プラグイン: Photo Gallery by 10Web
| 対象製品 | Photo Gallery by 10Web |
| 対象バージョン | 1.8.38までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b7f373a8-30e6-4150-a890-5ebb702d97ee |
編集者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となります。なお、この脆弱性はマルチサイト環境および unfiltered_html が無効化されている環境にのみ影響を及ぼします。
テーマ: Blocksy
| 対象製品 | Blocksy |
| 対象バージョン | 2.1.30までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ce7ee2c7-0c7b-4ce3-89d2-5503dff6e59c |
寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となる。
プラグイン: Page Builder Gutenberg Blocks
| 対象製品 | Page Builder Gutenberg Blocks |
| 対象バージョン | 3.1.16までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f8310fae-813c-4325-9ae6-f0ea470e0168 |
寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となります。
総括
2026年2月26日~2026年3月4日に報告された脆弱性9件のうち、3件は認証を受けていないユーザーが悪用可能な脆弱性で、6件は少なくとも投稿者以上の権限を持つユーザーで認証済の場合に悪用可能な脆弱性でした。
深刻度が高い脆弱性としては、SQLインジェクション、PHPオブジェクトインジェクション、ローカルファイルインクルード(LFI)など、機密情報の取得や任意コード実行につながる可能性のある問題が確認されています。特にPHPオブジェクトインジェクションは、外部から与えられたシリアライズデータを不適切にデシリアライズすることで、既存のクラスの挙動を悪用して任意の処理の実行を可能にす脆弱性です。詳細は当社のWebサイトでも解説しています。
未認証または比較的低い権限から悪用可能な脆弱性が含まれており、放置していると情報漏えいやサイト改ざん、権限昇格などのリスクにつながる可能性があります。該当するプラグインやテーマを利用している場合は、速やかにアップデートを行い、最新版を維持するようにしてください。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「GMOプライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
