WordPress脆弱性36件、未認証攻撃も　今すぐ対応すべきプラグインはどれか【4月9日～4月15日】

今週最も注意すべきは「MW WP Form」の脆弱性です。この脆弱性を悪用されると、サーバ上の任意ファイルを操作可能になり、最悪の場合はサイトの完全侵害につながります。

こんにちは。GMOプライム・ストラテジーの相馬理紗です。

今回は、2026年4月9日～2026年4月15日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。

• WordPress.orgにおける“Active installations"が10万以上である
  
• 日本語の翻訳に対応している
  

• 

  未認証攻撃やRCEの可能性も含む、優先対応が必要なWordPressプラグインを整理　Photo:PIXTA

閉じる

今回のポイント

• 報告件数は36件と多く、前回より大幅に増加
• 未認証で悪用可能な脆弱性が複数存在
• MW WP FormやOptimoleなど、日本語環境でも利用されやすいプラグインに注意
• 条件次第でリモートコード実行につながる可能性がある脆弱性も確認

今すぐ対応すべき脆弱性

高リスク（即対応）

• BackWPup：ローカルファイルインクルードにより機密情報取得やRCEの可能性
• Optimole：未認証で保存型XSSを実行される可能性
• Tutor LMS：未認証でユーザーの請求先情報を改ざんされる可能性
• Cart Abandonment Recovery for WooCommerce：Shop Managerから管理者権限へ昇格される可能性
• MW WP Form：任意ファイルの移動・読み取りによりRCEの可能性
• Ninja Forms：PHPオブジェクトインジェクションにより、環境次第でコード実行の可能性

中～低リスク（影響限定）

• Download Manager
• Forminator Forms
• Ocean Extra
• FiboSearch
• Broken Link Checker
• ACF
• Easy Table of Contents
• Photo Gallery by 10Web
• WP-Optimize
• YITH WooCommerce Wishlist
• Elementor Website Builder
• Beaver Builder Page Builder
• Permalink Manager Lite
• Blocksy
• ElementsKit Elementor Addons
• CartFlows
• Admin and Site Enhancements
• WPForms
• VK All in One Expansion Unit
• Ultimate Member
• Shortcodes Ultimate

注目すべき脆弱性の解説

BackWPup：機密情報取得やRCEにつながる可能性

BackWPup 5.6.6までの全バージョンには、REST APIエンドポイントのパラメータ処理に起因するローカルファイルインクルードの脆弱性が存在する。

管理者以上の権限を持つユーザーで認証済みの場合に、細工したパストラバーサル文字列を用いることで、サーバー上の任意のPHPファイルを読み込める可能性がある。wp-config.php などの機密情報取得や、特定環境ではリモートコード実行につながる恐れがある。

Optimole：未認証で保存型XSS

Optimole 4.2.2までの全バージョンには、REST APIエンドポイントにおける入力値のサニタイズおよび出力時のエスケープ処理不備により、保存型クロスサイトスクリプティングの脆弱性が存在する。

未認証の攻撃者が、ページへ任意のスクリプトを挿入し、そのページを閲覧したユーザーの環境で実行させることが可能となる。

Tutor LMS：未認証で請求先情報を改ざん

Tutor LMS 3.9.7までの全バージョンには、不適切な直接オブジェクト参照の脆弱性が存在する。

未認証の攻撃者が、推測または列挙した注文IDを用いて細工したPOSTリクエストを送信することで、未完了の手動注文を持つユーザーの請求先プロフィールを改ざんできる可能性がある。対象となる情報には、氏名、メールアドレス、電話番号、住所などが含まれる。

MW WP Form：任意ファイル操作によりRCEの可能性

MW WP Form 5.1.1までの全バージョンには、任意のファイル移動および読み取りの脆弱性が存在する。

未認証の攻撃者が、サーバー上の任意ファイルを移動または読み取れる可能性があり、wp-config.php などが対象となった場合にはリモートコード実行につながる恐れがある。

なお、この脆弱性はフォームにファイルアップロードフィールドが追加されており、「Saving inquiry data in database」オプションが有効化されている場合にのみ悪用可能。

Cart Abandonment Recovery for WooCommerce：管理者権限へ昇格

Cart Abandonment Recovery for WooCommerce 2.1.0未満の全バージョンには、権限昇格の脆弱性が存在する。

Shop Manager以上の権限を持つユーザーで認証済みの場合に、管理者権限へ昇格できる可能性がある。WooCommerce運用サイトでは特に注意が必要。

Ninja Forms：環境次第でコード実行の可能性

Ninja Forms 3.6.12までの全バージョンには、信頼できない入力のデシリアライズに起因するPHPオブジェクトインジェクションの脆弱性が存在する。

管理者権限を持つユーザーで認証済みの場合に任意のPHPオブジェクトを注入できる可能性がある。Ninja Forms自体には既知のPOPチェーンは存在しないが、他のプラグインやテーマを通じてPOPチェーンが存在する場合、任意ファイル削除、機密情報取得、コード実行などにつながる恐れがある。

4月9日～4月15日に報告された全脆弱性一覧

深刻度が高い脆弱性：6件

① CVE: https://www.cve.org/CVERecord?id=CVE-2026-6227 　詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/084e3f78-275b-4692-9cce-e17074f55cfb

② CVE: https://www.cve.org/CVERecord?id=CVE-2026-5217 　詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/50417068-339a-4ae5-9c90-8f08f54ce0af

③ CVE: https://www.cve.org/CVERecord?id=CVE-2026-3360 　詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/7f365519-dd0a-4f39-880d-7216ce2f7d1e

④ CVE: https://www.cve.org/CVERecord?id=CVE-2026-39470 　詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/868c178f-9389-4da0-8ebb-ee94f025039f

⑤ CVE: https://www.cve.org/CVERecord?id=CVE-2026-5436 　詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/bc308993-7fc5-41db-a396-f05e95fe47b8

⑥ CVE: https://www.cve.org/CVERecord?id=CVE-2022-2903 　詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/dececd27-d311-41c0-a10c-3b9cc8b8f128

他の脆弱性：30件

⑦ https://www.wordfence.com/threat-intel/vulnerabilities/id/0184b2b5-0b50-407e-8911-b0845714ea17
⑧ https://www.wordfence.com/threat-intel/vulnerabilities/id/0c173356-7228-4253-bb28-2c2e11af76fd
⑨ https://www.wordfence.com/threat-intel/vulnerabilities/id/112cea93-fa4b-4692-8c8b-e74255f61939
⑩ https://www.wordfence.com/threat-intel/vulnerabilities/id/2283b147-b904-4086-8cb1-6d8969ccbaf6
⑪ https://www.wordfence.com/threat-intel/vulnerabilities/id/24347126-56f5-4fb2-afcd-52af0b879eb0
⑫ https://www.wordfence.com/threat-intel/vulnerabilities/id/243d7c43-9aef-44a6-a63a-862ff8881060
⑬ https://www.wordfence.com/threat-intel/vulnerabilities/id/27fc81b0-c03a-4de7-bc38-791401d1685b
⑭ https://www.wordfence.com/threat-intel/vulnerabilities/id/4399c3b5-9bd6-4334-82fd-6afa735f89e0
⑮ https://www.wordfence.com/threat-intel/vulnerabilities/id/4cc29d32-2727-42df-bd42-2caf0f182c0e
⑯ https://www.wordfence.com/threat-intel/vulnerabilities/id/51ca3ed9-6c3e-44c6-b746-8415e27abed0
⑰ https://www.wordfence.com/threat-intel/vulnerabilities/id/51e3a976-a1a3-411a-b88c-f1cb2aa8d5eb
⑱ https://www.wordfence.com/threat-intel/vulnerabilities/id/52afc761-9050-4aea-97f6-62a9a2e1d65a
⑲ https://www.wordfence.com/threat-intel/vulnerabilities/id/5fb176f2-d966-4d78-9915-e6903d8f226a
⑳ https://www.wordfence.com/threat-intel/vulnerabilities/id/6a0a376e-ea3a-40ca-9341-f28f92e15e02
㉑ https://www.wordfence.com/threat-intel/vulnerabilities/id/7e947678-a575-4b2c-8da1-4a801a7a642c
㉒ https://www.wordfence.com/threat-intel/vulnerabilities/id/98bbec12-25f5-429c-a926-e8da34945962
㉓ https://www.wordfence.com/threat-intel/vulnerabilities/id/a14fe294-e6e3-42ca-9388-ea632bbc0ec7
㉔ https://www.wordfence.com/threat-intel/vulnerabilities/id/a61335cb-024d-4f58-8e58-c5b2064d8b51
㉕ https://www.wordfence.com/threat-intel/vulnerabilities/id/a6b02846-61be-4571-921d-53df5493f856
㉖ https://www.wordfence.com/threat-intel/vulnerabilities/id/b2fad930-8dae-4feb-a9c7-a2fb801cef51
㉗ https://www.wordfence.com/threat-intel/vulnerabilities/id/b3ae99bb-03c3-4869-9314-0dbd76ca25c0
㉘ https://www.wordfence.com/threat-intel/vulnerabilities/id/b6d84682-6966-47fd-a04c-7f4c5b914fc6
㉙ https://www.wordfence.com/threat-intel/vulnerabilities/id/bc51ccec-558c-4155-a309-badf99202ce1
㉚ https://www.wordfence.com/threat-intel/vulnerabilities/id/c380b630-7378-43a9-8b8d-85d27b904ad4
㉛ https://www.wordfence.com/threat-intel/vulnerabilities/id/c8e56c2c-b559-493f-bafa-501c5948d806
㉜ https://www.wordfence.com/threat-intel/vulnerabilities/id/d5c652be-ea24-4fbe-aa88-ea1f8814d34a
㉝ https://www.wordfence.com/threat-intel/vulnerabilities/id/e04eb409-b47b-4b9d-b29b-24f7bbaaf5b4
㉞ https://www.wordfence.com/threat-intel/vulnerabilities/id/ec6a6736-ca28-44bb-976e-b22e901306b4
㉟ https://www.wordfence.com/threat-intel/vulnerabilities/id/f6929fdc-a5b1-4c71-9291-3fafa9381cf2
㊱ https://www.wordfence.com/threat-intel/vulnerabilities/id/f9cf0430-8577-449a-aefe-d7bf606fe2de

総括

4月9日～4月15日に報告された脆弱性は36件で、未認証でも悪用可能なものが14件、購読者以上の権限を持つユーザーで認証済の場合に悪用可能なものが22件確認されました。内容としては、XSS、CSRF、権限チェック不備、情報漏えい、任意ファイル操作、権限昇格など、幅広いリスクが含まれます。

特に注意すべきは、未認証の攻撃者によって悪用される可能性がある脆弱性が多い点です。保存型XSSや反射型XSS、CSRF、情報取得の不備などは、管理者や利用者の操作を誘導することで被害につながる可能性があります。

また、BackWPupやMW WP Formのように、任意ファイルの読み取りや移動を起点として、機密情報の取得やリモートコード実行につながる恐れがある脆弱性も確認されました。Cart Abandonment Recovery for WooCommerceのように、Shop Manager権限から管理者権限へ昇格される可能性があるものもあり、ECサイトでは特に注意が必要です。

全体として、今回の期間は報告件数が多く、影響範囲も広いです。該当プラグインやテーマを利用している場合は、速やかに修正版へアップデートすることが重要です。あわせて、不要なプラグインの削除、権限設定の見直し、管理画面へのアクセス制限など、基本的なセキュリティ対策も徹底してください。