こんにちは。GMOプライム・ストラテジーの相馬理紗です。
今回は、2026年5月14日~2026年5月20日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。
- WordPress.orgにおける“Active installations"が10万以上である
- 日本語の翻訳に対応している
-
WordPress関連で13件の脆弱性が報告された
今回のポイント
- AI Engineで管理者権限へ昇格する可能性
- Burst Statisticsで認証バイパスの脆弱性
- Fluent Formsでフォームデータへの不正アクセス
- MonsterInsightsでGoogle OAuthトークン取得の可能性
- ManageWP Workerでは未認証の保存型XSSを確認
- Magnific Popups由来のXSSが複数プラグインへ波及
今すぐ対応すべき脆弱性
- Burst Statistics:未認証で管理者になりすませる可能性
- AI Engine:購読者権限から管理者権限へ昇格する可能性
- Fluent Forms:本来アクセスできないフォームデータへの不正アクセス
- MonsterInsights:Google OAuthアクセストークン取得の可能性
- Kirki:uploads配下の任意ファイル操作の可能性
- ManageWP Worker:未認証の保存型XSSを確認
今週危険だった攻撃パターン
管理者権限の奪取につながる問題が目立つ
今週は、管理者権限の取得や認証回避につながる脆弱性が複数確認された。
特にBurst Statisticsでは、管理者ユーザー名が判明している場合、未認証の攻撃者が管理者になりすませる可能性がある。外部からユーザー名を取得できるケースは少なくなく、攻撃リスクの高い内容といえる。
また、AI Engineでは購読者権限を持つ認証済みユーザーが、管理者レベルの機能へアクセスできる可能性が確認された。
近年は、低権限アカウントを起点にサイト全体の権限を奪取する攻撃が増えており、「購読者だから安全」とは言えない状況になっている。
フォームや外部連携機能への攻撃も継続
Fluent Formsでは、本来アクセス権のないフォーム送信データへのアクセスや、不正なデータ操作につながる問題が確認された。
また、MonsterInsightsではGoogle OAuthアクセストークン取得の可能性が報告されている。
最近のWordPressプラグインは、フォーム機能だけでなく、GoogleサービスやAIツールなど外部サービスと連携するケースが増えている。そのため、単なるWebサイト侵害にとどまらず、外部サービス側へ影響が広がるリスクも高まっている。
最近増えている傾向
AI・外部連携機能が新たな攻撃対象に
今回の特徴の一つが、AI機能やOAuth連携を狙った脆弱性が目立つ点だ。
AI EngineではMCP関連機能の権限管理不備、MonsterInsightsではGoogle OAuthトークン取得の問題が確認された。
近年は、WordPressを単なるCMSとしてではなく、AIサービスやクラウドサービスとの連携基盤として利用するケースが増えている。
その結果、「管理画面の改ざん」だけでなく、「外部サービスとの連携権限を奪う」ことを狙った攻撃も増加している。
共通ライブラリ由来の脆弱性も継続
OceanWPとShortcodes Ultimateでは、ライブラリ「Magnific Popups」に関連するXSS脆弱性が報告された。
これは個別プラグイン固有の問題ではなく、内部で利用されているライブラリ側に起因する問題だ。
WordPressでは、同じライブラリを複数のプラグインが利用しているケースも多く、1つの脆弱性が横断的に影響することがある。
プラグイン単位だけでなく、内部ライブラリを含めた管理の重要性が高まっている。
WordPress運用の落とし穴
低権限ユーザーが攻撃の起点になる
今回も、購読者や寄稿者など、比較的低い権限を悪用する脆弱性が複数確認された。
会員サイトやECサイト、学習サイトでは、多数の低権限ユーザーを運用しているケースも多い。しかし近年は、「ログインできるだけ」で攻撃が成立する脆弱性も増えている。
不要アカウントの削除、多要素認証の導入、権限の棚卸しなど、基本的なアカウント管理が改めて重要になっている。
AI機能や外部連携の設定確認も重要
AI機能やOAuth連携を利用するプラグインでは、権限設定やトークン管理の不備が大きなリスクにつながる可能性がある。
特に、外部サービス連携では「サイト侵害」だけでなく、「Googleアカウント側への影響」や「AI機能の悪用」につながるケースも考えられる。
WordPress運用では、プラグイン更新だけでなく、現在有効になっている外部連携機能やAPI権限の確認も重要になりつつある。
5月14日~5月20日に報告された主な脆弱性一覧
深刻度が高い脆弱性:8件
| プラグイン | 対象バージョン | 修正バージョン | 内容 | 詳細 |
|---|---|---|---|---|
| AI Engine | ~3.4.9 | 3.5.0 | 権限昇格 | [①] |
| GiveWP | ~4.14.5 | 4.14.6 | 保存型XSS | [②] |
| MonsterInsights | ~10.1.2 | 10.1.3 | OAuthトークン取得 | [③] |
| Fluent Forms | ~6.1.21 | 6.2.0 | フォームデータ不正操作 | [④] |
| Burst Statistics | 3.4.0~3.4.1.1 | 修正済み | 認証バイパス | [⑤] |
| Fluent Forms | ~6.2.0 | 6.2.1 | データ不正アクセス | [⑥] |
| Kirki | ~6.0.6 | 6.0.7 | 任意ファイル操作 | [⑦] |
| ManageWP Worker | ~4.9.31 | 4.9.32 | 保存型XSS | [⑧] |
① 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/0593c20d-3422-4817-9639-614254b609db
② 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/2a541529-ef53-468c-a7f0-0cd6822bd17b
③ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/5d380b66-675e-451d-a7e3-4efe1fbd08b2
④ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/81aad41e-0330-4dff-a5f8-08a108d724f5
⑤ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/8ca830d6-3d3c-4026-85cd-8447b8a568d3
⑥ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/9cd12b8a-2033-4236-abcd-2a8d08e7f099
⑦ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/b073edd0-3f40-423e-976e-996b29caf66e
⑧ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/db6f08f9-4da3-450d-bf1e-5c9f0aab02a1
他の脆弱性:5件
| プラグイン | 対象バージョン | 内容 | 詳細 |
|---|---|---|---|
| All in One SEO | ~4.9.7 | API/OAuth情報取得 | [⑨] |
| Kirki | ~6.0.6 | フォーム情報取得 | [⑩] |
| MW WP Form | ~5.1.2 | 非公開データ取得 | [⑪] |
| OceanWP | ~3.6.0 | XSS | [⑫] |
| Shortcodes Ultimate | ~7.4.2 | XSS | [⑬] |
⑨ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/0d8bc203-c17a-4b31-8f9e-695f9e638cda
⑩ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/1a4414b1-6a49-42f8-9927-93763d1502ce
⑪ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/7f2c39f6-3d37-4765-99e8-023610856b61
⑫ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd
⑬ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd
総括
5月14日~5月20日に報告された脆弱性では、管理者権限の奪取、認証回避、フォームデータへの不正アクセス、OAuthトークン取得など、実害につながりやすい問題が目立ちました。
特にBurst Statisticsでは、未認証の攻撃者による管理者なりすましの可能性があり、緊急性の高い脆弱性といえます。
また今回は、AI EngineやMonsterInsightsなど、AI機能や外部サービス連携を持つプラグインで問題が確認された点も特徴的でした。
WordPress運用では、単なるCMS管理だけでなく、AI機能、OAuth連携、フォーム機能、低権限ユーザー管理など、より広い視点でのセキュリティ対策が求められています。
該当プラグインを利用している場合は、速やかなアップデートに加え、不要アカウントの整理、権限設定、外部連携機能の確認もあわせて実施してください。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「GMOプライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
国民年金の未納通知を装うフィッシングに注意 PayPayで送金要求
