こんにちは。プライム・ストラテジーの相馬理紗です。 最近、WordPressが発表した「WordPress AIチーム」の結成、気になりますね。プラグイン形式での機能提供を前提とし、WordPressコアに依存しない柔軟なAI活用が可能になるとのこと。どんな進化が起きるか、楽しみですね。
さて、WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。
今回は、2025年7月10日~7月16日にに報告されたWordPress脆弱性のうち、Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。
- WordPress.orgにおける“Active installations"が10万以上である
- 日本語の翻訳に対応している
他の脆弱性: 2件
今回は、深刻度が高い脆弱性はありません。他の脆弱性を2件紹介しましょう。
プラグイン: OceanWP
| 対象製品 | OceanWP |
| 対象バージョン | 3.6.0までの全てのバージョン |
| 脆弱性概要 | 貢献者レベル以上のアクセス権を持つユーザーで認証済みの場合、ユーザーが挿入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに挿入できる |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
プラグイン: WP Shortcodes Plugin - Shortcodes Ultimate
| 対象製品 | WP Shortcodes Plugin - Shortcodes Ultimate |
| 対象バージョン | 7.4.2までの全てのバージョン |
| 脆弱性概要 | 寄稿者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/dae80fc2-3076-4a32-876d-5df1c62de9bd |
総括
この期間内に報告された脆弱性2件はいずれも、少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を受ける脆弱性でした。
いずれも、プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるものです。Magnific Popups 1.2.0 で特定のフィールド内のHTMLの読み込みをデフォルトで無効にすることで修正されています。
Ocean WP および WP Shortcodes Pluginの脆弱性 (プラグインが同梱するJavaScriptライブラリ Magnific Popups 1.1.0 に存在する脆弱性によるもの) は当社のWebサイトで報告したものの更新版になります。
こちらで取り上げていないWordPressのプラグインにおいても、同じJavaScriptライブラリを同梱しているものがあります。また、該当するWordPressのプラグインとして使っていなくても、Web制作の一環でJavaScriptライブラリを利用している場合があるかもしれません。
JavaScriptライブラリに起因する脆弱性情報が出た際には、他で同じJavaScriptライブラリを使っている環境がないか、横展開するようにしてください。
著者プロフィール
相馬理紗
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。趣味は、お酒、サイクリング、ウェイトトレーニングです。当社はWordPressのプラグイン・テーマの脆弱性の情報をSecurity Advisory for WordPressでお伝えしています。
Windows 10で普及しなかった機能10選
