こんにちは。プライム・ストラテジーの相馬理紗です。
WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。
今回は、2025年6月26日~2025年7月2日に報告されたWordPress脆弱性のうち、Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。
- WordPress.orgにおける“Active installations"が10万以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性:2件
深刻度が高い脆弱性は2件です。
プラグイン:Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.44.2までの全てのバージョン |
| 修正バージョン | 1.44.3 |
| CVSS | 高 (7.5) |
| 対応方法 | 1.44.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-6464 |
| 公開日 | 2025-07-01 17:04:22 (2025-07-02 05:29:18更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6707aa4c-c652-42c0-bdb9-00be984e7271 |
1.44.2までの全てのバージョンに、‘entrydeleteupload_files' 関数で信頼できない入力をデシリアライズすることにより、PHP オブジェクトインジェクションの脆弱性が存在します。認証を受けていない第三者がこの脆弱性を悪用することで、、PHARファイルを介してPHPオブジェクトを挿入することが可能になります。
なお、このプラグイン単体にはPOPチェインはありません。つまり、ウェブサイトにPOPチェインを持つ他のプラグインやテーマが存在しない限り、この脆弱性の影響はありません。
もしも、他にインストールされたプラグインやテーマにPOPチェインが存在する場合、攻撃者はそのPOPチェインによっては任意のファイルを削除したり、機密性のデータを取得したり、PHPコードを実行したりすることができます。
なお、デシリアライズは、管理者によるかプラグインの設定による自動削除で、フォーム投稿が削除されたときに起きます。
プラグイン:Forminator Forms
| 対象製品 | Forminator Forms |
| 対象バージョン | 1.44.2までの全てのバージョン |
| 修正バージョン | 1.44.3 |
| CVSS | 高 (8.8) |
| 対応方法 | 1.44.3以降にアップデートする |
| CVE | https://www.cve.org/CVERecord?id=CVE-2025-6463 |
| 公開日 | 2025-07-01 16:22:05 (2025-07-02 04:24:57更新) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/6dc9b4cb-d36b-4693-a7b9-1dad123b6639 |
1.44.2までの全てのバージョンに、‘entrydeleteupload_files' 関数のファイルパス検証が不十分なため、任意のファイルを削除される脆弱性が存在します。認証されていない第三者がこの脆弱性を悪用すると、任意のファイルパスをフォーム送信に含めることが可能です。
このファイルはフォーム投稿が削除されたときに削除されます(管理者が削除、プラグインの設定による自動削除のいずれの場合も)。このため、適切なファイル (wp-config.php など) が削除されると、リモートでコードを実行される可能性があります。
他の脆弱性:4件
以下、他の脆弱性4件を紹介しましょう。
プラグイン:Smash Balloon Social Photo Feed
| 対象製品 | Smash Balloon Social Photo Feed |
| 対象バージョン | 6.9.0までの全てのバージョン (Smash Balloon Social Photo Feed)、6.8.0までの全てのバージョン(Smash Balloon Instagram Feed Pro) |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/23e47daa-79e7-4ed3-a88a-0f090e9aa277 |
寄稿者以上の権限を持つユーザーで認証済の場合に、この脆弱性を悪用すると、「ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される」「任意のウェブスクリプトをページに挿入する」といったことが可能になります。
プラグイン:Ninja Forms
| 対象製品 | Ninja Forms |
| 対象バージョン | 3.10.2.1までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/92d106c6-a910-4f41-94d1-59f6b7f3aeb0 |
寄稿者以上の権限を持つユーザーで認証済の場合に、この脆弱性を悪用すると、「ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される」「任意のウェブスクリプトをページに挿入する」といったことが可能になります。
プラグイン:OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 3.6.0までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
寄稿者以上の権限を持つユーザーで認証済の場合に、この脆弱性を悪用すると、「ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される」「任意のウェブスクリプトをページに挿入する」といったことが可能になります。
プラグイン:WP Shortcodes Plugin - Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin - Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
寄稿者以上の権限を持つユーザーで認証済の場合に、この脆弱性を悪用すると、「ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される」「任意のウェブスクリプトをページに挿入する」といったことが可能になります。
総括
6月26日から7月2日にかけて報告された脆弱性6件のうち、2件は認証を受けてない第三者 (誰でも攻撃できる) に影響を及ぼす脆弱性で、4件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性でした。
Forminator Formsの脆弱性は認証を受けてない第三者によってリモートコードが実行されるリスクがあるものです。早急に対応するようにしてください。
Ocean WP および WP Shortcodes Pluginの脆弱性は、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性に起因するものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
こちらで取り上げていないWordPressのプラグインにおいても、同じJavaScriptライブラリを同梱しているものがあります。また、該当するWordPressのプラグインとして使っていなくても、Web制作の一環でJavaScriptライブラリを利用している場合があるかもしれません。こういったJavaScriptライブラリに起因する脆弱性情報が出た際には、他で同じJavaScriptライブラリを使っている環境がないか、確認するようにしてください。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
ランサムウェア被害を受けた徳島・半田病院事業管理者が語る、備えておくべきこととは
