こんにちは。プライム・ストラテジーの相馬理紗です。
WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。
今回は、2025年6月12日~2025年6月18日に報告されたWordPress脆弱性のうち、Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。
- WordPress.orgにおける“Active installations"が10万以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性:2件
深刻度が高い脆弱性は2件です。
プラグイン:File Manager Pro
| 対象製品 | File Manager Pro |
| 対象バージョン | 1.8.8までの全てのバージョン |
| 修正バージョン | 1.8.9 |
| CVSS | 高 (7.2) |
| 対応方法 | 1.8.9以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-3234 |
| 公開日 | 2025-06-13 17:25:06 (2025-06-14 05:32:03更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/00df02cd-b4d3-477a-86ee-aa2f9b5216e8 |
1.8.8 までの全てのバージョンに、ファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。
攻撃者が管理者以上の権限を持つユーザーで認証済みの場合、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、遠隔からコードを実行される可能性があります。管理者はファイル・マネージャの使用権限を購読者といったより低い権限のユーザーに付与することが可能で、このようなサイトではこの脆弱性がより深刻になります。
プラグイン:AI Engine
| 対象製品 | AI Engine |
| 対象バージョン | 2.8.0から2.8.3までの全てのバージョン |
| 修正バージョン | 2.8.4 |
| CVSS | 高 (8.8) |
| 対応方法 | 2.8.4以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-5071 |
| 公開日 | 2025-06-18 00:00:00 (2025-06-18 20:48:23更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0e7654a1-0020-4bf1-86be-bdb238a9fe0d |
WordPress用プラグインのバージョン 2.8.0から2.8.3に、‘Meow_MWAI_Labs_MCP::can_access_mcp' 関数の権限チェックが欠落しているため、データの不正な改変や消失する脆弱性があります。
攻撃者が購読者以上の権限を持つユーザーで認証済みの場合、MCPにフルアクセスして特権の昇格に使用可能な‘wp_create_user'、‘wp_update_user'、‘wp_update_option'や、投稿やコメントの編集・削除に使用可能な‘wp_update_post'、‘wp_delete_post'、‘wp_update_comment'、‘wp_delete_comment' などのコマンドを実行することが可能になります。
他の脆弱性:9件
以下、他の脆弱性9件を紹介しましょう。
プラグイン:Download Manager
| 対象製品 | Download Manager |
| 対象バージョン | 3.3.18までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/029956d7-6e3f-4159-9f53-05691e0262fc |
投稿者以上の権限を持つユーザーで認証済みの場合、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入するといったことが可能になります。
プラグイン:Slider, Gallery, and Carousel by MetaSlider
| 対象製品 | Slider, Gallery, and Carousel by MetaSlider |
| 対象バージョン | 3.98.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/0e6492e5-a506-4d77-96d2-08f700b6ee76 |
寄稿者以上の権限を持つユーザーで認証済みの場合、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入するといったことが可能になります。
テーマ:OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 4.0.9までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/37b085f9-3b15-44aa-9ba0-de5321dfbce4 |
寄稿者以上の権限を持つユーザーで認証済みの場合、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入するといったことが可能になります。
プラグイン:Ninja Forms
| 対象製品 | Ninja Forms |
| 対象バージョン | 3.10.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/4b8a3e10-bdd9-4d5f-8632-bd7f0247b8f1 |
管理者以上の権限を持つユーザーで認証済みの場合、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入するといったことが可能になります。
これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響を及ぼします。
プラグイン:YITH WooCommerce Wishlist
| 対象製品 | YITH WooCommerce Wishlist |
| 対象バージョン | 4.5.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6d4b0434-61ca-47b1-9119-7208283f916f |
寄稿者以上の権限を持つユーザーで認証済みの場合、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入するといったことが可能になります。
プラグイン:ElementsKit Elementor Addons and Templates
| 対象製品 | ElementsKit Elementor Addons and Templates |
| 対象バージョン | 3.5.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c2995828-8a3e-400d-9e2b-aba8fd17cf00 |
寄稿者以上の権限を持つユーザーで認証済みの場合、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入するといったことが可能になります。
プラグイン:Ninja Forms
| 対象製品 | Ninja Forms |
| 対象バージョン | 3.10.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d6203da8-8cf0-4bd8-8ecb-3e2ec787bf6f |
管理者以上の権限を持つユーザーで認証済みの場合、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入するといったことが可能になります。
これはマルチサイトでインストールされている場合と、unfiltered_htmlを無効にしてインストールされている場合にのみ影響を及ぼします。
※上記に同様の内容がありますが、こちらは別の脆弱性に起因するものです。条件、脆弱性の内容、修正バージョンは同じです。
プラグイン:Responsive Lightbox & Gallery
| 対象製品 | Responsive Lightbox & Gallery |
| 対象バージョン | 2.4.8までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d99d4b9a-aa09-434d-91a8-7afaa0e8b5db |
寄稿者以上の権限を持つユーザーで認証済みの場合、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入するといったことが可能になります。この脆弱性は、プラグインが同梱するJavaScriptライブラリ FancyBox 1.3.4 から 3.5.7 に存在する脆弱性によるものです。
プラグイン:Firelight Lightbox
| 対象製品 | Firelight Lightbox |
| 対象バージョン | 2.3.3までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/d99d4b9a-aa09-434d-91a8-7afaa0e8b5db |
寄稿者以上の権限を持つユーザーで認証済みの場合、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入するといったことが可能になります。
この脆弱性は、プラグインが同梱するJavaScriptライブラリ FancyBox 1.3.4 から 3.5.7 に存在する脆弱性によるものです。
総括
6月12日~2025年6月18日に報告された脆弱性は11件のうち、認証を受けていない第三者 (誰でも攻撃できる) に影響を与える脆弱性はありませんでした。いずれも、寄稿者以上の権限を持つユーザーで認証済みの場合に影響を及ぼす脆弱性でした。したがって、ユーザーログインを強固にすることが重要です。
File Manager Proの脆弱性は任意のファイルをアップロードして実行させることを可能にすりものです。アップロードは管理者権限のみが行えるものですが、ファイル・マネージャの使用権限を購読者といったより低い権限のユーザーに付与している場合に、その低い権限であっても任意のファイルをアップロード可能なことが問題となっています。
同様に、AI Engineの脆弱性も、本来ならば管理者権限のみが行えることを購読者といった低い権限のユーザーが行うことを許してしまうものです。
WordPressには、権限グループと権限という考え方があります。権限グループは管理者 (administrator)、編集者 (editor)、投稿者 (author)、寄稿者 (contibutor)、購読者 (subscriber) といったユーザーに与えられている権限のグループです。本稿は、どの権限 (グループ) のユーザー認証されている場合に影響がある脆弱性かという形で説明しています。
一方、権限は deleteposts、 editpages、 export、 import、 createusers、 activateplugins といったWordPressで実行が許可されている一連のタスクを指します。
例えば、create_users (ユーザーの作成) は管理者権限グループに含まれる権限で、管理者のみがユーザーを作成できます。何らかの理由でより低い権限グループのユーザー (例えば購読者) にこの実行が許可されてしまっていると、脆弱性の影響を受けることになります。詳しくは WordPressのドキュメント を参照ください。
今回報告された深刻度の高い脆弱性は、いずれも本来はそのユーザーの権限 (グループ) では行えないことが実行できてしまうものでした。脆弱性の有無に限らず、ユーザーに必要のない高い権限 (グループ) を持たせることはリスクにつながります。サイトを複数のユーザーで管理している場合は、管理者といった特権ユーザーは最小限にするなど、ユーザーの権限の見直しを定期的に行うようにしてください。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
Webカメラの映像流出に注意、日本は流出量で世界第2位
