こんにちは。GMOプライム・ストラテジーの相馬理紗です。
今回は、2026年6月11日~6月17日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。
- WordPress.orgにおける“Active installations"が10万以上である
- 日本語の翻訳に対応している
-
WordPress関連で16件の脆弱性が報告された
今回のポイント
- UpdraftPlus Premiumで認証不要のRCEにつながる可能性
- The Events Calendarで認証不要のSQLインジェクション
- CleanTalk Anti-SpamとAll-In-One Securityで保存型XSS
- LatePointで管理者権限への昇格につながる脆弱性
- 全16件中9件が未認証で攻撃可能
今すぐ対応すべき脆弱性
- UpdraftPlus Premium:認証回避からRCEにつながる可能性
- The Events Calendar:認証不要のSQLインジェクション
- CleanTalk Anti-Spam:認証不要の保存型XSS
- All-In-One Security:認証不要の保存型XSS
- LatePoint:Agent権限以上のユーザーによる管理者権限への昇格
今週危険だった攻撃パターン
認証不要でRCEにつながる脆弱性に注意
今週最も注意したいのは、UpdraftPlus Premiumの脆弱性です。
認証回避の問題により、未認証の攻撃者が任意のRPCを実行し、悪意あるプラグインのアップロードや有効化を通じてリモートコード実行につなげられる可能性があります。
UpdraftPlusはバックアップ用途で広く利用されるプラグインであり、サイト全体のデータや管理機能に関わるため、該当バージョンを利用している場合は優先的な対応が必要です。
SQLインジェクションによる情報漏えいにも注意
The Events Calendarでは、認証不要で悪用可能なSQLインジェクションの脆弱性が報告されました。
攻撃者が追加のSQLクエリを挿入し、データベース内の機密情報を取得する可能性があります。
また、Advanced Order Export For WooCommerceやTutor LMSでもSQLインジェクションが確認されています。ただし、これらはShop Manager以上や管理者以上といった認証済みユーザーの権限が前提となります。
最近増えている傾向
保存型XSSが継続して報告されている
CleanTalk Anti-SpamとAll-In-One Securityでは、保存型XSSの脆弱性が確認されました。
保存型XSSは、悪意あるスクリプトがサイト内に保存され、管理者などが該当ページを閲覧した際に実行される可能性があります。
特にAll-In-One Securityでは、REST APIとデバッグ機能が両方有効な場合に、管理者のログページ閲覧をきっかけとして攻撃が成立する可能性があります。
認証不要の攻撃が多い
今回報告された16件のうち9件は、未認証の攻撃者による悪用が可能でした。
認証不要で悪用できる脆弱性は、ログインアカウントを持たない外部の攻撃者から直接狙われる可能性があります。
公開中のWordPressサイトでは、プラグインの更新遅れがそのまま攻撃リスクにつながりやすく、定期的な確認が重要です。
WordPress運用の落とし穴
バックアップ系プラグインも攻撃対象になる
UpdraftPlusのようなバックアップ系プラグインは、サイト運用上重要な役割を持つ一方で、攻撃者にとっても狙う価値の高い対象です。
バックアップ、復元、外部連携、ファイル操作などに関わる機能を持つため、脆弱性が悪用された場合の影響範囲が大きくなりやすい点に注意が必要です。
REST APIやデバッグ機能の公開状態を確認する
All-In-One Securityの脆弱性では、REST APIとデバッグ機能が有効な場合にリスクが高まる可能性がありました。
不要なデバッグ機能を有効にしたまま運用していないか、ログや管理画面に外部入力が反映される設定になっていないかを確認しておきたいところです。
6月11日~6月17日に報告があった主な脆弱性一覧
深刻度が高い脆弱性:5件
| プラグイン | 対象バージョン | 修正バージョン | 内容 | 詳細 |
|---|---|---|---|---|
| CleanTalk Anti-Spam. Spam Firewall & Bot protection | ~6.79 | 6.79 | 保存型XSS | [①] |
| LatePoint | ~5.5.1 | 5.5.2 | 管理者権限への昇格 | [②] |
| The Events Calendar | 6.15.12~6.16.2 | 6.16.3 | SQLインジェクション | [③] |
| All-In-One Security (AIOS) | ~5.4.7 | 5.4.8 | 保存型XSS | [④] |
| UpdraftPlus Premium | ~2.26.5 | 2.26.5 | 認証回避・RCE | [⑤] |
① 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/5339024c-afcc-4fdc-a14b-056068ff2f5b
② 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/b8d5bb6c-2021-4fc0-bede-8da1c3fb591a
③ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/c2a3076b-f5dc-4d93-b0a5-7121ba4e529a
④ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/d2b7ed73-a654-40ef-8d80-6171393da8e7
⑤ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/e901c2a0-2477-4b9a-8483-6002419e0a2f
他の脆弱性:11件
| プラグイン | 対象バージョン | 内容 | 詳細 |
|---|---|---|---|
| Advanced Order Export For WooCommerce | ~4.0.10 | SQLインジェクション | [⑥] |
| Tutor LMS | ~3.9.11 | SQLインジェクション | [⑦] |
| Permalink Manager Lite | ~2.5.3.3 | 保存型XSS | [⑧] |
| WP Migrate Lite | ~2.7.8 | CSRF | [⑨] |
| ElementsKit Elementor Addons | ~3.9.6 | 不正なアクション実行 | [⑩] |
| Optimole | ~4.2.6 | メディア添付ファイル改ざん | [⑪] |
| Feeds for YouTube | ~2.6.4 | 不正なアクション実行 | [⑫] |
| WooCommerce Stripe Payment Gateway | ~10.7.0 | 注文ステータス変更 | [⑬] |
| DearFlip | ~2.4.29 | 不正なアクション実行 | [⑭] |
| Really Simple Security | ~9.5.10 | 不正なアクション実行 | [⑮] |
| ElementsKit Elementor Addons | ~3.9.6 | 不正なアクション実行 | [⑯] |
⑥ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/0b395777-2e2a-4dc3-9b0c-ce4c9d22d7e9
⑦ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/1e193bb9-bb16-4a77-877b-fa0ab29a6c74
⑧ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/221c62a8-09c9-405a-bddf-06638437bd39
⑨ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/313db01b-8ee8-4df1-9a86-0de1bad46921
⑩ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/6f1345b0-a43e-475f-9d19-78600f17b8e6
⑪ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/8a90de6e-6bd5-43b6-980d-84d25d4120ad
⑫ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/a38386f1-5d5c-4ab4-b3b7-60bceb04730d
⑬ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/ab3b52f7-e2c3-44f7-8e19-b6c51ccd50e0
⑭ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/b3146b41-27d5-465d-a9ec-af4c50a0d612
⑮ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/be826d7f-6f8e-4942-81d5-2b00debd56fc
⑯ 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/fa8a1e98-8e5b-49d3-8378-f7b5be92f205
総括
6月11日~6月17日に報告があった脆弱性については、認証回避、SQLインジェクション、保存型XSS、権限昇格、不正なアクション実行が中心となりました。
特にUpdraftPlus Premiumでは、認証不要でリモートコード実行につながる可能性があり、最優先で対応したい脆弱性です。
また、The Events Calendarでは認証不要のSQLインジェクション、CleanTalk Anti-SpamとAll-In-One Securityでは保存型XSSが確認されています。
該当プラグインを利用している場合は速やかに最新版へ更新するとともに、不要なプラグインの削除、REST APIやデバッグ機能の公開状態確認、管理者権限アカウントの見直しを実施することが重要です。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「GMOプライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
住友化学が実践する工場のサイバーレジリエンス強化 - 「侵害前提」で鍛える現場対応力
