こんにちは。プライム・ストラテジーの相馬理紗です。

WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。

今回は、2025年5月29日~2025年6月4日までに報告されたWordPress脆弱性のうち、Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。

  • WordPress.orgにおける“Active installations"が10万以上である
  • 日本語の翻訳に対応している

毎回紹介している深刻度が高い脆弱性ですが、今回はありません。

他の脆弱性: 6件

以下、他の脆弱性を6件紹介しましょう。

プラグイン: Smash Balloon Social Photo Feed

対象製品 Smash Balloon Social Photo Feed
対象バージョン 6.9.0までの全てのバージョン (Smash Balloon Social Photo Feed)、6.8.0までの全てのバージョン (Smash Balloon Instagram Feed Pro)
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/23e47daa-79e7-4ed3-a88a-0f090e9aa277

寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。

プラグイン: Broken Link Checker

対象製品 Broken Link Checker
対象バージョン 2.4.4までの全てのバージョン
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/33ac910c-9531-45ea-84cf-1d379233f7d3

購読者以上の権限を持つユーザーで認証済の場合に、プラグインのステータスを見ることができる。

プラグイン: Forminator Forms

対象製品 Forminator Forms
対象バージョン 1.44.1までの全てのバージョン
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/415bfddb-5223-439f-8a08-535f79631ff0

寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。

プラグイン: Responsive Lightbox & Gallery

対象製品 Responsive Lightbox & Gallery
対象バージョン 2.5.0までの全てのバージョン
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/86a41cdf-8d7a-4d62-9370-8bdf4a259819

認証を受けていない第三者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。

プラグイン: Simple Lightbox

対象製品 Simple Lightbox
対象バージョン 2.9.3までの全てのバージョン
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/8c10e7f5-91e7-48c8-8c84-b61138ac1665

寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。

プラグイン: Relevanssi

対象製品 Relevanssi
対象バージョン 2.27.6までの全てのバージョン (Premium)、4.24.5までの全てのバージョン (Free)
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/ffb2ade3-d5ce-4459-ab83-e28cd4c84922

認証を受けていない第三者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。

総括

5月29日から6月4日にかけて報告された脆弱性6件のうち、2件は認証を受けていない第三者 (誰でも攻撃できる) に影響を及ぼす脆弱性で、4件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。また、今週も5件が Cross-Site Scripting (XSS) に対する脆弱性でした。

Relevanssiは再び脆弱性が報告されました。利用している場合は速やかにアップデートをしてください。

Broken Link Checkerの脆弱性である「プラグインのステータスを見る」は一見問題がないもののように見えます。しかし、プラグインのステータスの確認はWordPressでは管理者権限でないと見えないものです。これが購読者 (認証ユーザーの中では最も権限が低いユーザー) でも見えてしまうことが問題となっています。複数のユーザーを登録しているサイトでは、各ユーザーに適切な権限のみを付与しているか、確認するようにしてください。

著者プロフィール

相馬理紗


WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をWordPress Security Advisoryでお伝えしています。