こんにちは。プライム・ストラテジーの相馬理紗です。

WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。

今回は、2025年5月1日~2025年5月7日までに報告されたWordPress脆弱性のうち、Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。

  • WordPress.orgにおける“Active installations"が10万以上である
  • 日本語の翻訳に対応している

深刻度が高い脆弱性:1件

深刻度が高い脆弱性は1件です。

プラグイン:Popup and Slider Builder by Depicter

対象製品 Popup and Slider Builder by Depicter
対象バージョン 3.6.1までの全てのバージョン
修正バージョン 3.6.2
CVSS 高 (7.5)
脆弱性概要 3.6.1までの全てのバージョンにおいて、ユーザーが提供したパラメータのエスケープと既存の SQL クエリの事前処理が不十分であるため、's' パラメータを経由した汎用SQLインジェクションの脆弱性が存在する
対応方法 3.6.2 以降にアップデートする
CVE https://www.cve.org/CVERecord?id=CVE-2025-2011
公開日 2025-05-05 20:26:33 (2025-05-06 09:21:50更新)
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/49b36cde-39d8-4a69-8d7c-7b850b76a7cd

この脆弱性は、認証を受けていない第三者が機密情報をデータベースから抜き出すことを可能にするものです。既存のSQLクエリに追加クエリを付加することで、攻撃者は直接SQLインジェクションによりデータを取得できます。

認証を受けていない状態で機密情報の取得が可能である点から、早急なアップデートが必要です。

他の脆弱性:2件

以下、他の脆弱性2件を紹介しましょう。

プラグイン: Relevanssi

対象製品 Relevanssi
対象バージョン 4.24.3までの全てのバージョン
脆弱性概要 認証されていない第三者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/6f77f10b-f142-4859-a941-0fbde6ef7fdb

プラグイン: Login Lockdown & Protection

対象製品 Login Lockdown & Protection
対象バージョン 2.11までの全てのバージョン
脆弱性概要 購読者以上の権限を持つユーザーで認証済の場合に、グローバルアンロックキーを生成するために使用できる有効なnonceを取得することが可能になり、このnonceを使用して任意のIPアドレスをプラグインの許可リストに追加できる。プラグインを新規インストールしてサイト管理者がまだloginlockdownページにアクセスしていない場合でのみ悪用可能となる
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/ac9a3848-f486-475b-b2c7-ea1007bb30d3

総括

この期間内に報告された脆弱性3件のうち、2件は認証を受けていない第三者 (つまり、誰でも攻撃できる) に影響を及ぼす脆弱性で、1件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。

SQLインジェクションによる攻撃は直接データベースの内部のデータを取得される恐れがあることはもちろん、ユーザー名や使用しているプラグインの情報など、攻撃者が攻撃のためのさらなる情報を取得する機会を得ることにもつながります。速やかにアップデートを行ってください。

Login Lockdown & Protectionの脆弱性は、WordPressの管理画面でプラグインの設定ページを開いたことがない場合に影響を受けます。別のプラグインでも同様の脆弱性がありましたが、インストールしたプラグインに設定ページなどが存在する場合は、必ず設定に目を通すことが必要です。

著者プロフィール

相馬理紗


WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をWordPress Security Advisoryでお伝えしています。