こんにちは。GMOプライム・ストラテジーの相馬理紗です。
今回は、2026年4月30日~2026年5月6日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。
- WordPress.orgにおける“Active installations"が10万以上である
- 日本語の翻訳に対応している
-
WordPress関連で31件の脆弱性が報告された
今回のポイント
- 報告件数は31件、未認証攻撃可能な脆弱性は12件
- Forminator Formsでは任意ファイル読み取りの可能性
- MetaSliderではRCEにつながる脆弱性を確認
- Freemius由来のXSS脆弱性が複数プラグインに波及
- 低権限ユーザーから管理者権限奪取につながるケースも存在
今すぐ対応すべき脆弱性
- Slider, Gallery, and Carousel by MetaSlider:編集者権限でRCEの可能性
- ShortPixel Image Optimizer:PHPオブジェクトインジェクションによりコード実行の可能性
- Forminator Forms:未認証で任意ファイル読み取りの可能性
- Responsive Lightbox & Gallery:未認証で保存型XSSを実行される可能性
- Anti-Malware Security and Brute-Force Firewall:PHPオブジェクトインジェクションによりコード実行の可能性
- WP-Optimize:任意ファイル削除からRCEにつながる可能性
- Admin and Site Enhancements (ASE):購読者権限から管理者権限へ昇格の可能性
今週危険だった攻撃パターン
未認証でのファイル読み取りやXSSが目立つ
今週は、認証されていない攻撃者によって悪用可能な脆弱性が複数確認された。
特にForminator Formsでは、条件次第でサーバ上の任意ファイルを読み取られる可能性があり、wp-config.phpなどの機密情報漏えいにつながる恐れがある。
また、Responsive Lightbox & Galleryでは保存型XSS、GiveWPやFreemius由来の複数プラグインでは反射型XSSが確認された。これらは管理者や利用者を悪意あるページへ誘導することで被害につながる可能性がある。
低権限ユーザーからの権限昇格やRCEも継続
認証済み攻撃においては、比較的低い権限から重大な被害につながるケースが目立った。
Admin and Site Enhancements (ASE)では、購読者権限から管理者権限へ昇格できる可能性がある。また、MetaSliderやWP-Optimizeでは、編集者や投稿者権限を起点としてリモートコード実行(RCE)につながる可能性が確認された。
WordPressでは「管理者以外は安全」と考えられがちだが、投稿者・編集者アカウントの侵害でもサイト全体へ影響が及ぶケースが増えている。
最近増えている傾向
「単体プラグインの問題」ではなくなってきている
最近の脆弱性は、単純なXSSやCSRFだけではなく、PHPオブジェクトインジェクション、任意ファイル操作、権限昇格など、サイト侵害へ直結しやすい内容が増えている。
また、「このプラグインだけ更新すればよい」という状況ではなくなりつつある点も特徴だ。
今回はFreemius由来の脆弱性が複数プラグインで確認されたほか、PHPオブジェクトインジェクションも複数製品で報告されている。WordPress運用では、個別プラグインだけでなく、内部で利用されている共通ライブラリや依存コンポーネントまで含めた管理が求められる状況になっている。
フォーム系プラグインへの攻撃が増加
今回もForminator Forms、Fluent Formsなど、フォーム関連プラグインで複数の脆弱性が確認された。
フォームは外部公開されるケースが多く、ファイルアップロードや決済、通知メールなど、機能が複雑化しやすい。そのため、設定条件によっては未認証攻撃や情報漏えいにつながるケースが増えている。
特にAIを活用したサイト制作やノーコード運用の増加に伴い、フォーム機能を安易に追加するケースも増えており、今後も注意が必要だ。
共通ライブラリ問題
TablePress、Post SMTP、Menu Image、Shortcodes Ultimate、Ocean Extraなど複数のプラグインでは、同梱されている「Freemius」ライブラリに起因するXSS脆弱性が確認された。
これは個別プラグイン固有の問題ではなく、共通ライブラリ側の脆弱性である点が重要だ。
そのため、利用者側では「どのプラグインにFreemiusが含まれているか」を把握していないケースも多く、気づかないまま脆弱な状態が残る可能性がある。
また、独自開発のプラグインやテーマでFreemiusを組み込んでいる場合、開発者自身が影響範囲を認識できていないケースも考えられる。
WordPress運用では、プラグイン単位ではなく「内部ライブラリ単位」での確認も必要になりつつある。
WordPress運用の落とし穴
「使っていない機能」が攻撃対象になることも
今回のForminator Formsの脆弱性では、以下のような複数条件が重なった場合に悪用可能となっていた。
- ファイルアップロードフィールド
- Save and Continue
- 添付ファイル付きメール通知
しかし、運用現場では「過去に試した設定が残っている」「一時的に有効化した機能を無効化していない」といったケースも多い。
WordPressでは、現在使っていない機能やプラグイン設定が攻撃経路になることもある。
権限管理の甘さが被害を拡大
最近は、購読者・寄稿者・投稿者など、低権限ユーザーを悪用する脆弱性が増えている。
会員サイト、ECサイト、学習サイトなどでは、多数の低権限アカウントを運用するケースも多く、アカウント侵害がそのままサイト全体への攻撃につながる可能性がある。
不要アカウントの削除、権限棚卸し、多要素認証の導入など、基本的なアカウント管理も改めて重要になっている。
4月30日~5月6日に報告された全脆弱性一覧
深刻度が高い脆弱性:7件
| プラグイン | 対象バージョン | 修正バージョン | CVSS | 内容 | 詳細 |
|---|---|---|---|---|---|
| Slider, Gallery, and Carousel by MetaSlider | ~3.106.0 | 3.107.0 | 高 | リモートコード実行(RCE) | [①] |
| ShortPixel Image Optimizer | ~6.4.3 | 6.4.4 | 高 | PHPオブジェクトインジェクション | [②] |
| Forminator Forms | ~1.52.1 | 1.52.2 | 高 | 任意ファイル読み取り | [③] |
| Responsive Lightbox & Gallery | ~2.6.1 | 2.6.2 | 高 | 保存型XSS | [④] |
| Anti-Malware Security and Brute-Force Firewall | ~4.23.87 | 4.23.88 | 高 | PHPオブジェクトインジェクション | [⑤] |
| WP-Optimize | ~4.5.2 | 4.5.3 | 高 | 任意ファイル削除 | [⑥] |
| Admin and Site Enhancements (ASE) | ~7.6.2.1 | 7.6.3 | 高 | 権限昇格 | [⑦] |
① 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/0d012f97-9ccb-4ff6-a24a-df3c10bacc63
② 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/1079b96d-0435-42f1-b5b2-d36e674c0c9c
③ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/788422c4-e070-48aa-a85d-a5d5a25a6a1d
④ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/ad48145b-24c5-49ac-a192-08c496e08e00
⑤ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/c708698f-a38a-4213-a022-817b380e64df
⑥ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/cc815ef2-dd02-4faa-b202-dd1552f889db
⑦ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/e2ca42f3-776f-4ba4-a409-863799338c85
他の脆弱性:24件
| プラグイン/テーマ | 対象バージョン | 内容 | 詳細 |
|---|---|---|---|
| Fluent Forms | ~6.2.1 | 任意ファイル読み取り | [⑧] |
| GenerateBlocks | ~2.2.0 | 情報取得 | [⑨] |
| Forminator Forms | ~1.52.0 | 不正決済完了 | [⑩] |
| GiveWP | ~4.14.2 | XSS | [⑪] |
| Fluent Forms | ~6.1.14 | 権限のない操作 | [⑫] |
| PDF Invoices & Packing Slips for WooCommerce | ~5.9.0 | PHPオブジェクトインジェクション | [⑬] |
| ElementsKit Elementor Addons | ~3.8.2 | コンテンツ改ざん | [⑭] |
| Elementor Website Builder | ~4.0.4 | XSS | [⑮] |
| YITH WooCommerce Compare | ~3.6.0 | PHPオブジェクトインジェクション | [⑯] |
| Website Builder by SeedProd | ~6.19.8 | SSRF | [⑰] |
| CartFlows | ~2.1.19 | PHPオブジェクトインジェクション | [⑱] |
| PublishPress Future | ~4.10.0 | XSS | [⑲] |
| WP Ghost | ~7.0.00 | オープンリダイレクト | [⑳] |
| MetaSlider | ~3.106.0 | PHPオブジェクトインジェクション | [21] |
| Paid Membership Plugin | ~4.16.13 | XSS | [22] |
| TablePress | ~3.0.6 | XSS(Freemius由来) | [23] |
| Post SMTP | ~3.0.0 | XSS(Freemius由来) | [24] |
| Menu Image, Icons made easy | ~3.12 | XSS(Freemius由来) | [25] |
| Shortcodes Ultimate | ~7.3.3 | XSS(Freemius由来) | [26] |
| Ocean Extra | ~2.4.2 | XSS(Freemius由来) | [27] |
| Forminator Forms | ~1.53.0 | 情報漏えい | [28] |
| Tutor LMS | ~3.9.7 | 権限のない操作 | [29] |
| Forminator Forms | ~1.51.1 | 情報取得・設定改ざん | [30] |
| Loco Translate | ~2.8.2 | 任意ファイル読み取り | [31] |
⑧ https://www.wordfence.com/threat-intel/vulnerabilities/id/0101113b-70c2-4db4-b6b1-b2412f6e1214
⑨ https://www.wordfence.com/threat-intel/vulnerabilities/id/0297d524-e016-4f8d-920c-d58c62edb2a0
⑩ https://www.wordfence.com/threat-intel/vulnerabilities/id/1afb94ab-b3ba-4598-8ff4-f9ffc6717371
⑪ https://www.wordfence.com/threat-intel/vulnerabilities/id/41c2edae-9788-47ad-bf0b-aa944893c4e2
⑫ https://www.wordfence.com/threat-intel/vulnerabilities/id/5a85c367-99f5-4a46-94bc-ed6e6626514b
⑬ https://www.wordfence.com/threat-intel/vulnerabilities/id/75f5f59e-b071-43aa-87a5-d7c31fb35dae
⑭ https://www.wordfence.com/threat-intel/vulnerabilities/id/7740fdfb-65b2-4d27-935f-b0e73487f0c4
⑮ https://www.wordfence.com/threat-intel/vulnerabilities/id/826a2003-c526-4760-8c21-10d5ae7bb384
⑯ https://www.wordfence.com/threat-intel/vulnerabilities/id/84467bda-aaf8-45df-b4cc-f7e08d0c3848
⑰ https://www.wordfence.com/threat-intel/vulnerabilities/id/87246b00-7a61-4ab4-90f1-2ac42f5b9f1d
⑱ https://www.wordfence.com/threat-intel/vulnerabilities/id/96a2e7cc-23ae-404a-9889-e7bf9f744ec5
⑲ https://www.wordfence.com/threat-intel/vulnerabilities/id/9acf80aa-8354-4430-9836-18fa17854521
⑳ https://www.wordfence.com/threat-intel/vulnerabilities/id/ca12d05f-23f4-44e4-b513-a0452a170130
21 https://www.wordfence.com/threat-intel/vulnerabilities/id/ca195af0-9b51-4eca-b1ca-309b4b26ed4e
22 https://www.wordfence.com/threat-intel/vulnerabilities/id/d0bd67c9-4c5a-41f0-971f-19e6525092ca
23 https://www.wordfence.com/threat-intel/vulnerabilities/id/d694491c-c0f5-4418-805a-db792ea4f712
24 https://www.wordfence.com/threat-intel/vulnerabilities/id/d694491c-c0f5-4418-805a-db792ea4f712
25 https://www.wordfence.com/threat-intel/vulnerabilities/id/d694491c-c0f5-4418-805a-db792ea4f712
26 https://www.wordfence.com/threat-intel/vulnerabilities/id/d694491c-c0f5-4418-805a-db792ea4f712
27 https://www.wordfence.com/threat-intel/vulnerabilities/id/d694491c-c0f5-4418-805a-db792ea4f712
28 https://www.wordfence.com/threat-intel/vulnerabilities/id/d7b8d42c-bceb-456e-a682-358e8df831e3
29 https://www.wordfence.com/threat-intel/vulnerabilities/id/e4482f92-024d-402d-9cf3-c4709f23baf0
30 https://www.wordfence.com/threat-intel/vulnerabilities/id/e860aa70-b8ef-4b2a-a035-b01efce30a79
31 https://www.wordfence.com/threat-intel/vulnerabilities/id/f9ff3058-a08c-40ed-b756-81e703b2277a
総括
4月30日~5月6日に報告された脆弱性は31件で、未認証でも悪用可能な脆弱性が複数確認されました。特に、Forminator Formsの任意ファイル読み取り、MetaSliderやWP-OptimizeのRCEにつながる可能性、ASEの権限昇格など、深刻な影響につながる問題が含まれています。
また今回は、Freemius由来の脆弱性が複数プラグインへ波及している点も特徴的でした。個別プラグインだけでなく、共通ライブラリを含めた横断的な確認とアップデート対応が求められます。
該当プラグインを利用している場合は、速やかな更新に加え、不要プラグインや未使用機能の整理、低権限アカウントの見直しなど、基本的な運用管理も改めて確認してください。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「GMOプライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
