こんにちは。プライム・ストラテジーの相馬理紗です。
WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。
今回は、2025年5月1日~2025年5月7日までに報告されたWordPress脆弱性のうち、Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。
- WordPress.orgにおける“Active installations"が10万以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性:1件
深刻度が高い脆弱性は1件です。
プラグイン:Popup and Slider Builder by Depicter
| 対象製品 | Popup and Slider Builder by Depicter |
| 対象バージョン | 3.6.1までの全てのバージョン |
| 修正バージョン | 3.6.2 |
| CVSS | 高 (7.5) |
| 脆弱性概要 | 3.6.1までの全てのバージョンにおいて、ユーザーが提供したパラメータのエスケープと既存の SQL クエリの事前処理が不十分であるため、's' パラメータを経由した汎用SQLインジェクションの脆弱性が存在する |
| 対応方法 | 3.6.2 以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-2011 |
| 公開日 | 2025-05-05 20:26:33 (2025-05-06 09:21:50更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/49b36cde-39d8-4a69-8d7c-7b850b76a7cd |
この脆弱性は、認証を受けていない第三者が機密情報をデータベースから抜き出すことを可能にするものです。既存のSQLクエリに追加クエリを付加することで、攻撃者は直接SQLインジェクションによりデータを取得できます。
認証を受けていない状態で機密情報の取得が可能である点から、早急なアップデートが必要です。
Windows 11、更新プログラムで一部起動不能に - 緊急修正パッチ配信
