こんにちは。プライム・ストラテジーの相馬理紗です。
WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。
今回は、2025年4月17日~4月23日までに報告されたWordPress脆弱性のうち、Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。
- WordPress.orgにおける“Active installations"が10万以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性
深刻度が高い脆弱性は以下3件です。
プラグイン:Custom Product Tabs for WooCommerce
| 対象バージョン | 1.8.5までの全てのバージョン |
| 修正バージョン | 1.8.6 |
| CVSS | 高 (7.2) |
| 脆弱性概要 | 1.8.5までの全てのバージョンに、'yikes_woo_products_tabs' post meta パラメタで信頼できない入力をデシリアライズすることにより、 PHP オブジェクトインジェクションの脆弱性が存在する |
| 対応方法 | 1.8.6 以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2024-11465 |
| 公開日 | 2025-01-06 15:37:29 (2025-04-17 13:09:25更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1ad0d6eb-aafa-4f0b-bf1c-73d94e361087 |
この脆弱性は、ショップ運営者以上の権限を持つユーザーで認証済みの場合、PHPオブジェクトを挿入することを可能にします。
なお、このプラグイン単体にはPOPチェインはありません。つまり、WebサイトにPOPチェインを持つ他のプラグインやテーマが存在しない限り、この脆弱性の影響はありません。
もし、他にインストールされたプラグインやテーマにPOPチェインが存在する場合、攻撃者はそのPOPチェインによっては任意のファイルを削除したり、機密性のデータを取得したり、PHPコードを実行したりすることができます。ログイン (認証) が必要な攻撃ですが、POPチェインの有無が不明な場合はアップデートが必要です。
POPチェインについては当社のサイトで解説していますので、そちらを参照ください
プラグイン:Download Manager
| 対象バージョン | 3.3.12までの全てのバージョン |
| 修正バージョン | 3.3.13 |
| CVSS | 高 (8.8) |
| 脆弱性概要 | 3.3.12までの全てのバージョンに、 savePackage関数におけるファイルパスのバリデーションが不十分なため、 任意のファイルを削除される脆弱性が存在する |
| 対応方法 | 3.3.13 以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-3404 |
| 公開日 | 2025-04-18 18:52:05 (2025-04-19 07:23:40更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/21f8f5be-b513-4040-af39-c1a61d7e313f |
この脆弱性は 投稿者以上の権限を持つユーザーで認証済みの場合 にサーバ上の任意のファイルを削除することを可能とするものです。例えば、wp-config.phpなどのファイルが削除された場合、WordPressのサイトはインストール画面を表示して任意の管理者を追加できる状態になります。
プラグイン:Insert Headers And Footers
| 対象バージョン | 3.1.1までの全てのバージョン |
| 修正バージョン | 3.1.2 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 3.1.1 までの全てのバージョンに、Cross-Site Request Forgery の脆弱性がある。これは、 'custom_plugin_set_option' 関数における nonce 検証の欠落または不正確さによるもの |
| 対応方法 | 3.1.2 以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-2111 |
| 公開日 | 2025-04-18 00:00:00 (2025-04-19 05:30:15更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7b00d175-261d-46e3-bf3c-2d18f4e4972d |
認証されていない第三者が、管理者をだましてリンクをクリックするなどのアクションを実行させることで、偽のリクエストを使用して WordPress サイトの任意のオプションを更新することができます。これを悪用して、登録のデフォルトのロールを管理者に更新し、攻撃者がサイトへの管理者でのアクセス権限を得るためのユーザー登録が可能になります。脆弱性を悪用するには 'WPBRIGADESDKDEVMODE' 定数を 'true' に設定する必要があります。
Cross-Site Request Forgery (CSRF) については当社のサイトで解説していますので、そちらを参照ください。
他の脆弱性: 6件
以下、他の脆弱性6件を紹介しましょう。
プラグイン:Ocean Extra
| 対象バージョン | 2.4.6までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行すること、任意のウェブスクリプトをページに挿入することを可能にする |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/362a01c0-8b97-40dc-8af5-0d904da96576 |
プラグイン:Ocean Extra
| 対象バージョン | 2.4.6までの全てのバージョン |
| 脆弱性概要 | 認証されていない第三者が、任意のショートコード (shortcode)を実行することを可能にする。これはWooCommerceがインストール済でアクティブな場合にのみ影響する |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/74428e76-1946-408f-8adc-24ab4b7e46c5 |
プラグイン:Ocean Extra
| 対象バージョン | 2.4.6までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行すること、任意のウェブスクリプトをページに挿入することを可能にする。これはClassic Editor pluginがインストール済でアクティブな場合にのみ影響する |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/7595a1f6-6923-4102-8efe-a414adebce65 |
プラグイン:Social Sharing Plugin
| 対象バージョン | 3.3.73までの全てのバージョン |
| 脆弱性概要 | 認証されていない攻撃者が、ユーザーをだましてアクションを実行させることで、潜在的に悪意のあるサイトへリダイレクトさせることを可能にする |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d1418658-e068-4f49-a959-3bc8283c239a |
プラグイン:Download Manager
| 対象バージョン | 3.3.12までの全てのバージョン |
| 脆弱性概要 | 投稿者以上の権限を持つユーザーで認証済の場合、ユーザーが挿入されたSVGファイルにアクセスするたびにウェブスクリプトが実行すること、任意のウェブスクリプトをページに挿入することを可能にする |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dd9e6ba7-f107-4d7c-a7da-35e603f3a1a8 |
プラグイン:Slider, Gallery, and Carousel by MetaSlider
| 対象バージョン | 3.94.0までの全てのバージョン |
| 脆弱性概要 | 管理者以上の権限を持つユーザーで認証済の場合、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行すること、任意のウェブスクリプトをページに挿入することを可能にする。マルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響する |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e91a92c2-d8df-49e1-8c08-0df7fa7c6829 |
総括
この期間に報告された脆弱性9件のうち、3件は認証を受けていない第三者 (誰でも攻撃できる) に影響を及ぼす脆弱性で、6件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。
Download Managerは2件、 Ocean Extraは3件と同一のプラグインで複数の脆弱性が確認されています。特に、Ocean Extraでは WooCommerce がインストール済でアクティブな場合に、認証していない攻撃者が任意のショートコードを実行できる脆弱性が確認されています。 WooCommerceを利用している場合は、Ocean Extraを利用していないことを確認する必要があります。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をWordPress Security Advisoryでお伝えしています。
Windows 11の7月の更新プログラム、注目の新機能
