こんにちは。プライム・ストラテジーの相馬理紗です。

WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。

今回は、2025年5月15日~2025年5月21日までに報告されたWordPress脆弱性のうち、Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。

  • WordPress.orgにおける“Active installations"が10万以上である
  • 日本語の翻訳に対応している

深刻度が高い脆弱性:2件

深刻度が高い脆弱性は2件です。

プラグイン:Relevanssi

対象製品 Relevanssi
対象バージョン 2.27.5までの全てのバージョン (Premium)、4.24.4までの全てのバージョン (Free)
修正バージョン 2.27.6 (Premium)、4.24.5 (Free)
CVSS 高 (7.5)
対応方法 2.27.6以降にアップデートする (Premium)、4.24.5以降にアップデートする (Free)
CVE https://www.cve.org/CVERecord?id=CVE-2025-4396
公開日 2025-05-12 14:38:29 (2025-05-16 17:36:36更新)
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/197be163-4504-4caa-b729-c3293463cfb5

4.24.4までの全てのバージョン (Free) および 2.27.5までの全てのバージョン (Premium) において、'cats'と'tags'のクエリパラメータを介した time-based SQLインジェクションの脆弱性が存在します。

認証を受けていない第三者が、既存のSQLクエリに追加のSQLクエリを付加することで機密情報をデータベースから抜き出すことが可能となります。

プラグイン:Ultimate Member

対象製品 Ultimate Member
対象バージョン 2.10.3までの全てのバージョン
修正バージョン 2.10.4
CVSS 高 (7.2)
対応方法 2.10.4以降にアップデートする
CVE https://www.cve.org/CVERecord?id=CVE-2025-47691
公開日 2025-05-07 00:00:00 (2025-05-16 14:16:24更新)
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/dc8b33c7-23ef-4b5c-bdb9-b4e548d18832

2.10.3までの全てのバージョンにおいて、任意の関数を呼び出せる脆弱性が存在します。攻撃者が管理者以上の権限を持つユーザーで認証済みの場合に、任意の関数を実行し、リモートでコードを実行することが可能になります。

他の脆弱性:2件

以下、他の脆弱性2件を紹介しましょう。

プラグイン: All in One SEO

対象製品 All in One SEO
対象バージョン 4.8.1.1までの全てのバージョン
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/7fd5d31d-a4f3-458a-b457-f20aeaa71749

寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行され、任意のウェブスクリプトをページに挿入できます。

プラグイン:WooCommerce

対象製品 WooCommerce
対象バージョン 9.3.2までの全てのバージョン、9.4から9.4.2までの全てのバージョン
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/cc2ee5bb-eeb8-4134-8f3f-b411e56457f0

認証を受けていない第三者が、ユーザーをだましてアクションを実行させることで、任意のウェブスクリプトをページに挿入することが可能となります。

総括

5月15日~2025年5月21日に報告された脆弱性4件のうち、2件は認証を受けていない第三者 (つまり、誰でも攻撃できる) に影響を及ぼす脆弱性で、2件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。

先週に引き続きRelevanssiの有償版に脆弱性が報告されています。利用している場合は速やかにアップデートをしてください。

また、Ultimate Memberの脆弱性に対する修正が提供されました。利用している場合はこちらも速やかにアップデートをしてください。

多くのプラグインでは脆弱性の公開前か、公開に合わせて修正が提供されますが、Ultimate Memberのように遅れて修正が提供される場合もあります。Ultimate Memberは利用者も多く、開発も継続しているプラグインです (前のバージョンである 2.10.3 は2025-04-24に公開されています)。

このように、開発が活発なプラグインで脆弱性が報告されて、まだ修正が提供されていない場合は、一度プラグインの動作を停止して、修正が提供されるまで待つことも対応策の一つとして考えられます。ただし、脆弱性によっては停止しても影響する場合がありますので、報告された脆弱性の内容をもとに判断してください。

同様の脆弱性がありましたが、インストールしたプラグインに設定ページなどが存在する場合は、必ず設定に目を通すことが必要です。

著者プロフィール

相馬理紗


WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をWordPress Security Advisoryでお伝えしています。