こんにちは。プライム・ストラテジーの相馬理紗です。
WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。
今回は、2025年5月29日~2025年6月4日までに報告されたWordPress脆弱性のうち、Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。
- WordPress.orgにおける“Active installations"が10万以上である
- 日本語の翻訳に対応している
毎回紹介している深刻度が高い脆弱性ですが、今回はありません。
他の脆弱性: 6件
以下、他の脆弱性を6件紹介しましょう。
プラグイン: Smash Balloon Social Photo Feed
| 対象製品 | Smash Balloon Social Photo Feed |
| 対象バージョン | 6.9.0までの全てのバージョン (Smash Balloon Social Photo Feed)、6.8.0までの全てのバージョン (Smash Balloon Instagram Feed Pro) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/23e47daa-79e7-4ed3-a88a-0f090e9aa277 |
寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
プラグイン: Broken Link Checker
| 対象製品 | Broken Link Checker |
| 対象バージョン | 2.4.4までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/33ac910c-9531-45ea-84cf-1d379233f7d3 |
購読者以上の権限を持つユーザーで認証済の場合に、プラグインのステータスを見ることができる。
プラグイン: Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.44.1までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/415bfddb-5223-439f-8a08-535f79631ff0 |
寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
プラグイン: Responsive Lightbox & Gallery
| 対象製品 | Responsive Lightbox & Gallery |
| 対象バージョン | 2.5.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/86a41cdf-8d7a-4d62-9370-8bdf4a259819 |
認証を受けていない第三者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
プラグイン: Simple Lightbox
| 対象製品 | Simple Lightbox |
| 対象バージョン | 2.9.3までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/8c10e7f5-91e7-48c8-8c84-b61138ac1665 |
寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
プラグイン: Relevanssi
| 対象製品 | Relevanssi |
| 対象バージョン | 2.27.6までの全てのバージョン (Premium)、4.24.5までの全てのバージョン (Free) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/ffb2ade3-d5ce-4459-ab83-e28cd4c84922 |
認証を受けていない第三者が、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
総括
5月29日から6月4日にかけて報告された脆弱性6件のうち、2件は認証を受けていない第三者 (誰でも攻撃できる) に影響を及ぼす脆弱性で、4件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。また、今週も5件が Cross-Site Scripting (XSS) に対する脆弱性でした。
Relevanssiは再び脆弱性が報告されました。利用している場合は速やかにアップデートをしてください。
Broken Link Checkerの脆弱性である「プラグインのステータスを見る」は一見問題がないもののように見えます。しかし、プラグインのステータスの確認はWordPressでは管理者権限でないと見えないものです。これが購読者 (認証ユーザーの中では最も権限が低いユーザー) でも見えてしまうことが問題となっています。複数のユーザーを登録しているサイトでは、各ユーザーに適切な権限のみを付与しているか、確認するようにしてください。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をWordPress Security Advisoryでお伝えしています。
ソニー、Bose、JBLなどのBluetooth製品に重大な脆弱性、アップデートを
