こんにちは。GMOプライム・ストラテジーの相馬理紗です。
今回は、2026年3月12日~2026年3月18日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。
- WordPress.orgにおける“Active installations"が10万以上である
- 日本語の翻訳に対応している
-
WordPressに重大な脆弱性 Photo:PIXTA
深刻度が高い脆弱性:4件
深刻度が高い脆弱性は4件でした。
プラグイン: Post SMTP
| 対象製品 | Post SMTP |
| 対象バージョン | 3.8.0までのすべてのバージョン |
| 修正バージョン | 3.9.0 |
| CVSS | 高 (7.2) |
| 対応方法 | 3.9.0以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-3090 |
| 公開日 | 2026-03-17 00:00:00 (2026-03-18 15:28:32更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/3f8cbbbb-2089-4966-8fd3-da4f76fb2517 |
3.8.0までの全バージョンに、event_type パラメータにおける入力値のサニタイズおよび出力時のエスケープ処理が不十分であることによる保存型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。
この脆弱性の悪用により、未認証の攻撃者がページへ任意のウェブスクリプトを挿入して、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となります。
この脆弱性は Post SMTP Pro プラグインがインストールされており、その Reporting and Tracking 拡張機能が有効化されている場合にのみ悪用可能です。
プラグイン: The Events Calendar
| 対象製品 | The Events Calendar |
| 対象バージョン | 6.15.17までのすべてのバージョン |
| 修正バージョン | 6.15.17.1 |
| CVSS | 高 (7.5) |
| 対応方法 | 6.15.17.1以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-3585 |
| 公開日 | 2026-03-09 14:40:15 (2026-03-13 20:54:51更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/92e404ab-fe2b-45b3-b8ff-672f7888b747 |
6.15.17までの全バージョンに、ajaxcreateimport 関数におけるパストラバーサルの脆弱性が存在します。投稿者以上の権限を持つユーザーで認証済みの場合に、この脆弱性を悪用してサーバ上の任意のファイルの内容を読み取ることが可能となり、機密情報が取得される可能性があります。
プラグイン: Checkout Field Editor (Checkout Manager) for WooCommerce
| 対象製品 | Checkout Field Editor (Checkout Manager) for WooCommerce |
| 対象バージョン | 2.1.7までのすべてのバージョン |
| 修正バージョン | 2.1.8 |
| CVSS | 高 (7.2) |
| 対応方法 | 2.1.8以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-3231 |
| 公開日 | 2026-03-10 21:13:56 (2026-03-13 20:55:09更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/df406e59-94d9-4704-82a3-02c2c1773c82 |
2.1.7までのすべてのバージョンにおいて、WooCommerceのBlock Checkout Store APIを通じて送信されるカスタムのradioフィールドおよびcheckboxgroupフィールドの値に起因する、保存型クロスサイトスクリプティング(Stored XSS)の脆弱性が存在します。
この問題は、class-thwcfd-block-order-data.phpに実装されたpreparesinglefielddata()メソッドの処理に起因します。本来、入力値はeschtml()によってエスケープされていますが、radioおよびcheckboxgroupフィールドタイプの場合に限り、htmlentitydecode()によって再度デコードされてしまいます。
さらに、getallowedhtml()で定義されるwp_kses()の許可リストにおいて、
この結果、未認証の攻撃者であっても、Store APIのチェックアウトエンドポイントを通じて任意のスクリプトを挿入することが可能となります。挿入されたスクリプトは注文データとして保存され、管理者が注文詳細ページを閲覧した際に実行される可能性があります。
プラグイン: Formidable Forms
| 対象製品 | Formidable Forms |
| 対象バージョン | 6.28までのすべてのバージョン |
| 修正バージョン | 6.29 |
| CVSS | 高 (7.5) |
| 対応方法 | 6.29以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2026-2890 |
| 公開日 | 2026-03-12 19:21:57 (2026-03-13 07:23:48更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ebb4bc5a-9469-4733-acf3-d2dda5edb7af |
6.28までのすべてのバージョンにおいて、支払いの整合性不備により決済を不正に回避できる脆弱性が存在します。
この問題は、Stripe Linkのリターン処理を担うhandleonetimestripelinkreturnurlが、支払い金額の検証を行わず、PaymentIntentのステータスのみを基に支払い完了と判定していることに起因します。さらに、verify_intent()関数がクライアントシークレットの所有確認にとどまり、特定のフォームや処理と結び付けた検証を行っていない点も要因となっています。
この結果、未認証の攻撃者であっても、低額決済に使用されたPaymentIntentを再利用することで、高額な支払いを完了済みとして扱わせることが可能となります。これにより、商品やサービスの代金を実質的に支払わずに取得されるおそれがあります。
他の脆弱性:12件
他の脆弱性は12件です。
プラグイン: Yoast Duplicate Post
| 対象製品 | Yoast Duplicate Post |
| 対象バージョン | 4.5までのすべてのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/05f175e6-08a9-4199-948c-5bd8b3caaa39 |
この脆弱性を悪用することで、寄稿者以上の権限を持つユーザーで認証済みの場合に、本来アクセス権のない非公開投稿、下書き投稿、ゴミ箱内の投稿を含む任意の投稿を複製することが可能となります。さらに、投稿者以上の権限を持つユーザーで認証済みの場合に、Rewrite & Republish 機能を用いて公開済みの任意の投稿を自身の内容で上書きすることが可能となります。
プラグイン: Admin Menu Editor
| 対象製品 | Admin Menu Editor |
| 対象バージョン | 1.14.1までのすべてのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/13c969f3-55d7-4a05-aec8-460bb6faf9da |
未認証の攻撃者が、サイト管理者にリンクのクリックなどの操作を行わせることで、権限のない操作を実行することが可能となります。
プラグイン: Post SMTP
| 対象製品 | Post SMTP |
| 対象バージョン | 3.8.0までのすべてのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/323436b5-fbfe-4923-8b08-93c1fcabc016 |
購読者以上の権限を持つユーザーで認証済みの場合に、細工されたURLを用いてサイトのOffice 365 OAuthメール設定(アクセストークン、リフレッシュトークン、ユーザーのメールアドレス)を上書きすることが可能となります。これらの設定はプラグインのPro版で利用可能なMicrosoft365 SMTPのセットアップウィザードで使用されるものであり、攻撃者が制御するAzureアプリを正規のものと誤認させ、管理者がPro版へアップグレード後の設定時に攻撃者のアカウントへ接続してしまう可能性があります。
プラグイン: Website Builder by SeedProd - Theme Builder, Landing Page Builder, Coming Soon Page, Maintenance Mode
| 対象製品 | Website Builder by SeedProd - Theme Builder, Landing Page Builder, Coming Soon Page, Maintenance Mode |
| 対象バージョン | 6.19.8までのすべてのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/32ce92b9-8c9c-4a7e-9580-00a564500e30 |
未認証の攻撃者が、権限のない操作を実行することが可能となります。
プラグイン: Crowdsignal Forms
| 対象製品 | Crowdsignal Forms |
| 対象バージョン | 1.7.2までのすべてのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/53d12736-56d3-454f-9593-74f758d0605d |
投稿者以上の権限を持つユーザーで認証済みの場合に、権限のない操作を実行することが可能となります。
プラグイン: Really Simple Security
| 対象製品 | Really Simple Security |
| 対象バージョン | 9.5.7までのすべてのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/68504f49-0b18-4010-97b0-7e7391408d36 |
購読者以上の権限を持つユーザーで認証済みの場合に、権限のない操作を実行することが可能となります。
プラグイン: Photo Gallery by 10Web
| 対象製品 | Photo Gallery by 10Web |
| 対象バージョン | 1.8.38までのすべてのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b7f373a8-30e6-4150-a890-5ebb702d97ee |
編集者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となります。なお、この脆弱性はマルチサイト環境および unfiltered_html が無効化されている環境にのみ影響を及ぼします。
プラグイン: Formidable Forms
| 対象製品 | Formidable Forms |
| 対象バージョン | 6.28までのすべてのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/b8be3b6e-a035-4e6f-ba2b-ce9e59ebf2e0 |
未認証の攻撃者が、フィールドショートコードによる動的価格設定を使用するフォームにおいて、支払い完了前にPaymentIntentの金額を改ざんでき、商品やサービスの支払い金額を不正に減額することが可能となります。
プラグイン: Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.49までのすべてのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d3efaa0d-8af6-4cdf-9225-8bbcfdbb73d3 |
購読者以上の権限を持つユーザーで認証済みの場合に、メールアドレス、表示名、登録日などを含む任意のユーザーの機密情報を取得することが可能となります。
プラグイン: WP Go Maps (formerly WP Google Maps)
| 対象製品 | WP Go Maps (formerly WP Google Maps) |
| 対象バージョン | 10.0.05までのすべてのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d5599101-a7bd-4aa7-91da-f11694bdc000 |
購読者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となります。
プラグイン: WooCommerce
| 対象製品 | WooCommerce |
| 対象バージョン | 10.5.3までのすべてのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/df7eca9b-e353-49e7-8706-89c1787637e9 |
未認証の攻撃者が、サイト管理者にリンクのクリックなどの操作を行わせることで、権限のない操作を実行することが可能となります。
プラグイン: Page Builder Gutenberg Blocks
| 対象製品 | Page Builder Gutenberg Blocks |
| 対象バージョン | 3.1.16までのすべてのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f8310fae-813c-4325-9ae6-f0ea470e0168 |
寄稿者以上の権限を持つユーザーで認証済みの場合に、ページへ任意のウェブスクリプトを挿入でき、そのページにアクセスしたユーザーの環境でスクリプトを実行させることが可能となります。
総括
今回の脆弱性は、未認証または低権限のユーザーでも悪用可能なものが多く、影響範囲の広さが懸念されます。特に、XSSや支払い処理の不備といった問題は、機密情報の漏えいや不正利用に直結するおそれがあります。
対象のプラグインを利用している場合は、速やかなアップデートに加え、不要なプラグインの削除や権限設定の見直しを徹底してください。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「GMOプライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
防御だけでは企業は守れない 制度改革と「CISO2.0」で変わるサイバー対策
