こんにちは。GMOプライム・ストラテジーの相馬理紗です。
今回は、2026年5月28日~2026年6月3日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。 - WordPress.orgにおける“Active installations"が10万以上である - 日本語の翻訳に対応している
-
WordPress関連で21件の脆弱性が報告された
今回のポイント
- KirkiとAdvanced Custom Fields: Extendedで深刻な権限昇格
- WooCommerce PayPal Paymentsで注文情報漏えいの可能性
- 認証不要で悪用可能なXSS脆弱性が複数確認
- Rank Math SEOでSEO設定改ざんの可能性
- 全21件中13件が未認証で攻撃可能
今すぐ対応すべき脆弱性
- Kirki:認証不要でアカウント乗っ取りの可能性
- Advanced Custom Fields: Extended:認証不要で管理者アカウント作成の可能性
- WooCommerce PayPal Payments:注文情報漏えい・支払い操作の可能性
- Post SMTP:認証不要の保存型XSS
- Favicon by RealFaviconGenerator:認証不要の保存型XSS
- WP Statistics:認証不要の保存型XSS
今週危険だった攻撃パターン
管理者権限の奪取につながる脆弱性が目立つ
今週は権限昇格につながる脆弱性が複数確認された。
特にKirkiでは、パスワードリセット機能の不備により、未認証の攻撃者が任意ユーザーのアカウントを乗っ取る可能性がある。
またAdvanced Custom Fields: Extendedでは、条件次第で管理者アカウントを新たに作成できる問題が報告された。
サイト改ざんやマルウェア設置などにつながる可能性があり、優先的な対応が求められる。
ECサイトを狙う攻撃にも注意
WooCommerce PayPal Paymentsでは、他ユーザーの注文情報や配送情報を取得できる可能性が確認された。
WooCommerceは国内でも利用が多く、ECサイト運営者にとっては特に注意が必要な脆弱性といえる。
注文フローの操作や顧客情報の漏えいにつながる恐れがあり、速やかな更新が推奨される。
最近増えている傾向
認証不要の攻撃が多い
今回報告された21件のうち13件は未認証の攻撃者による悪用が可能だった。
近年はログイン不要で悪用できる脆弱性が継続的に報告されており、サイト公開中のプラグイン更新遅れが直接的なリスクになりやすい。
XSSが依然として多い
Post SMTP、Favicon by RealFaviconGenerator、WP Statisticsでは保存型XSSが確認された。
保存型XSSは管理者がページを閲覧した際に悪意のあるスクリプトが実行される可能性があり、管理画面の乗っ取りにつながるケースもある。
WordPress運用の落とし穴
フロントエンドフォームの公開設定を見直す
今回のAdvanced Custom Fields: Extendedの脆弱性は、フロントエンドフォームの公開状況によって被害が拡大する可能性があった。
フォームを利用したユーザー登録機能や会員機能を運用している場合は、不要な公開フォームが存在しないか確認しておきたい。
SEO・分析系プラグインも攻撃対象になる
Rank Math SEOやWP Statisticsなど、サイト運営支援を目的としたプラグインでも脆弱性が報告されている。
近年はCMS機能だけでなく、SEO、アクセス解析、メール送信など周辺機能も攻撃対象になっており、利用頻度の高いプラグインほど定期的な更新確認が重要になっている。
5月28日~6月3日に報告があった主な脆弱性一覧
深刻度が高い脆弱性:7件
| プラグイン | 対象バージョン | 修正バージョン | 内容 | 詳細 |
|---|---|---|---|---|
| Kirki | ~6.0.6 | 6.0.7 | アカウント乗っ取り・権限昇格 | [①] |
| Post SMTP | ~3.6.2 | 3.6.3 | 保存型XSS | [②] |
| AI Engine | ~3.4.9 | 3.5.0 | 権限昇格 | [③] |
| Advanced Custom Fields: Extended | ~0.9.2.5 | 0.9.2.6 | 管理者アカウント作成・権限昇格 | [④] |
| WooCommerce PayPal Payments | ~4.0.1 | 4.0.2 | 注文情報漏えい・不正操作 | [⑤] |
| Favicon by RealFaviconGenerator | ~1.3.46 | 1.3.47 | 保存型XSS | [⑥] |
| WP Statistics | ~14.16.6 | 14.16.7 | 保存型XSS | [⑦] |
① 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/3b5630bd-5bce-4226-959f-5e81ae69b799
② 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/863acd01-c9fa-44d5-afc4-1a6baefcf709
③ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/b73edf8f-7017-4239-8ddc-038481d3f65f
④ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/bd332f49-5aa9-4207-89db-84692a6430e0
⑤ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/d5fa3282-b3be-4ea1-9865-011dea828a25
⑥ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/d6e16234-ec7b-466f-bc11-e80e63dec49f
⑦ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/dd389d3b-046c-41cb-a077-7dcb9fd50eda
他の脆弱性:14件
| プラグイン | 対象バージョン | 内容 | 詳細 |
|---|---|---|---|
| SVG Support | ~2.5.14 | 不正なアクション実行 | [⑧] |
| PDF Embedder | ~4.9.3 | 設定情報取得 | [⑨] |
| Photo Gallery by 10Web | ~1.8.40 | SQLインジェクション | [⑩] |
| Adminimize | ~1.11.11 | 不正なアクション実行 | [⑪] |
| LatePoint | ~5.3.2 | 予約キャンセル誘導(CSRF) | [⑫] |
| ElementsKit Elementor Addons | ~3.9.6 | 不正なアクション実行 | [⑬] |
| GenerateBlocks | ~2.1.0 | ユーザー情報取得 | [⑭] |
| WPForms | ~1.10.0.4 | 不正なアクション実行 | [⑮] |
| Advanced Custom Fields (ACF) | ~6.8.1 | 不正なアクション実行 | [⑯] |
| DearFlip | ~2.4.28 | 不正なアクション実行 | [⑰] |
| Easy Updates Manager | ~9.0.20 | XSS | [⑱] |
| Rank Math SEO | ~1.0.271 | SEO設定改ざん | [⑲] |
| Advanced Custom Fields (ACF) | ~6.8.1 | 投稿内容改ざん | [⑳] |
| ElementsKit Elementor Addons | ~3.9.6 | 不正なアクション実行 | [㉑] |
⑧ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/07b7c6ed-c3dc-4daa-8921-eeb856e45386
⑨ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/0e0f2516-0fa7-415e-868e-6bd259bc6546
⑩ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/27394b03-3604-4fb0-950f-e1f838cabb05
⑪ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/63ddf445-7b48-48f3-b097-bd7991216c3f
⑫ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/6a9285fb-fc4e-4ea4-89d5-f376f03c54a4
⑬ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/6f1345b0-a43e-475f-9d19-78600f17b8e6
⑭ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/72f6b96e-cff4-414e-bbe8-6a244cc6feed
⑮ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/aa60f16f-bd25-4b8b-9e3c-0996b9e3de42
⑯ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/b061facb-0411-4b81-adbd-b1419b7210df
⑰ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/b3146b41-27d5-465d-a9ec-af4c50a0d612
⑱ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/bbbd989c-4d69-45c9-bcb9-44f9ab98b969
⑲ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/dd072774-6f85-42de-a9d4-6826703ad839
⑳ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/ddb2290d-d4bd-4f70-9fe9-927f49721811
㉑ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/fa8a1e98-8e5b-49d3-8378-f7b5be92f205
総括
5月28日~6月3日に報告があった脆弱性については、権限昇格、不正アクセス、保存型XSSが中心となりました。
特にKirkiとAdvanced Custom Fields: Extendedでは、管理者権限の取得につながる深刻な問題が確認されています。
また、WooCommerce PayPal Paymentsでは顧客情報や注文情報に影響する可能性があり、ECサイト運営者は優先的な対応が求められます。
該当プラグインを利用している場合は速やかに最新版へ更新するとともに、管理者アカウントの確認、不要なフォーム機能の見直し、公開中プラグインの棚卸しを実施することが重要です。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「GMOプライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
生成AIを活用する前に知っておくべき5分類のリスクとは
