【2026 年 07 月 10 日】WordPress プラグイン脆弱性まとめ: WPFunnels、WP Time Capsule など 15 件
/ 21 min read
Table of Contents
本日のまとめ
本日、WordPressで広く使われているプラグイン「WPFunnels」、「Backup and Staging by WP Time Capsule」、「Everest Forms」など、合計15件の脆弱性情報が公開されました。これらの脆弱性は、サイトの機密情報漏えいや不正なスクリプト実行につながる可能性があります。ご自身のサイトにこれらのプラグインがインストールされている場合は、速やかに公式情報を確認し、対策を講じることを強く推奨します。
WPFunnels: 管理者権限による任意のファイル読み込み・実行の可能性
- 対象: WPFunnels – Funnel Builder for WooCommerce with Checkout & One Click Upsell
- 影響バージョン: 0 〜 3.12.7 (を含む)
- 深刻度: 6.6 / 10 (中程度)
どんな危険があるか
この脆弱性を悪用されると、サイトの管理者権限を持つ攻撃者によって、サーバー上の任意のPHPファイルを読み込んだり、実行したりする可能性があります。これにより、サイトの設定情報を抜き取られたり、不正なプログラムを動かされたりする恐れがあります。
今すぐやること
もしWPFunnelsプラグインをお使いの場合、バージョン3.12.7以前であれば影響を受けます。速やかに最新バージョンへの更新を検討してください。更新が難しい場合は、一時的にプラグインを無効化することも検討してください。公式情報を確認し、修正版がリリースされているか確認しましょう。
出典
- Wordfence – WPFunnels <= 3.12.7 - Authenticated (Administrator+) Local File Inclusion via ‘logKey’ Parameter
- db.gcve.eu
Backup and Staging by WP Time Capsule: 購読者権限による機密情報漏えいの可能性
- 対象: Backup and Staging by WP Time Capsule
- 影響バージョン: 0 〜 1.22.26 (を含む)
- 深刻度: 6.5 / 10 (中程度)
どんな危険があるか
この脆弱性があると、購読者権限以上のユーザーによって、管理者が最近復号したSQLデータベースバックアップファイルがダウンロードされる可能性があります。このバックアップファイルには、パスワードハッシュやユーザー認証情報、その他の機密性の高いサイト設定データが含まれていることがあります。
今すぐやること
Backup and Staging by WP Time Capsuleプラグインのバージョン1.22.26以前をご利用の場合は注意が必要です。管理者が復号処理を実行した場合にのみ影響を受けますが、念のため公式情報を確認し、最新バージョンへ更新してください。
出典
- Wordfence – Backup and Staging by WP Time Capsule <= 1.22.26 - Missing Authorization to Authenticated (Subscriber+) Sensitive Information Exposure via download_recent_decrypted_file_wptc Function
- db.gcve.eu
Everest Forms: 認証なしでサイト情報が漏えいする可能性
- 対象: Everest Forms
- 影響バージョン: 3.4.2 〜 3.5.0 (を含まない)
- 深刻度: 6.5 / 10 (中程度)
どんな危険があるか
この脆弱性があると、認証されていない攻撃者がREST APIの脆弱性を悪用し、サイトのオンボーディングステータス情報を読み取ったり、関連する設定を変更したり、任意のメールアドレスにサイトからメールを送信したりする可能性があります。
今すぐやること
Everest Formsプラグインのバージョン3.5.0より古いバージョンをお使いの場合、速やかに最新バージョンに更新してください。公式情報を確認し、修正版がリリースされていることを確認しましょう。
出典
- WPScan – Everest Forms < 3.5.0 - Unauthenticated Missing Authorization via Site Assistant REST Endpoints
- db.gcve.eu
Blocks for ACF Fields: 編集者権限で非公開記事の情報を盗み見られる可能性
- 対象: Blocks for ACF Fields — Display Custom Fields in the Block Editor
- 影響バージョン: 0 〜 1.6.2 (を含む)
- 深刻度: 6.5 / 10 (中程度)
どんな危険があるか
この脆弱性があると、編集者以上の権限を持つ攻撃者によって、本来アクセスできないはずの任意の記事(非公開記事、下書き、他のユーザーの記事など)のACFフィールドの値を読み取られる可能性があります。これにより、サイト内の機密情報が漏えいする危険性があります。
今すぐやること
Blocks for ACF Fieldsプラグインのバージョン1.6.2以前をお使いの場合、速やかに最新バージョンへの更新を検討してください。公式情報を確認し、修正版がリリースされているか確認しましょう。
出典
- Wordfence – Blocks for ACF Fields <= 1.6.2 - Missing Authorization to Authenticated (Author+) Arbitrary ACF Field Value Disclosure via ‘id’ Parameter
- db.gcve.eu
ERP: Complete HR, Accounting & CRM Suite: 人事担当者権限によるデータベース不正操作の可能性
- 対象: ERP: Complete HR, Accounting & CRM Suite Built for WooCommerce
- 影響バージョン: 0 〜 1.17.5 (を含む)
- 深刻度: 6.5 / 10 (中程度)
どんな危険があるか
この脆弱性があると、人事担当者(HR Manager)以上の権限を持つ攻撃者によって、データベースへの不正なSQLクエリが挿入される可能性があります。これにより、データベースから機密情報が抜き取られたり、改ざんされたりする危険性があります。
今すぐやること
ERPプラグインのバージョン1.17.5以前をご利用の場合、速やかに最新バージョンへの更新を検討してください。公式情報を確認し、修正版がリリースされているか確認しましょう。
出典
- Wordfence – ERP: Complete HR, Accounting & CRM Suite with Recruitment and WooCommerce CRM Support <= 1.17.5 - Authenticated (HR Manager+) SQL Injection via ‘orderby’ Parameter
- db.gcve.eu
Post Grid Gutenberg Blocks – PostX: 寄稿者権限による不正なスクリプト埋め込みの可能性
- 対象: Post Grid Gutenberg Blocks – PostX (Post Grid Gutenberg Blocks for News, Magazines, Blog Websites / Ultimate Post)
- 影響バージョン: 0 〜 5.0.31 (を含む)
- 深刻度: 6.4 / 10 (中程度)
どんな危険があるか
この脆弱性は、クロスサイトスクリプティング(XSS)の危険性をもたらします。寄稿者以上の権限を持つ攻撃者によって、ウェブサイトのページに悪意のあるスクリプトが埋め込まれ、そのページを閲覧したユーザーのブラウザ上で実行される可能性があります。これにより、セッション情報の窃取や偽情報の表示などが行われる危険性があります。
今すぐやること
Post Grid Gutenberg Blocks – PostXプラグインのバージョン5.0.31以前をご利用の場合、速やかに最新バージョンへの更新を検討してください。公式情報を確認し、修正版がリリースされているか確認しましょう。
出典
- Wordfence – Post Grid Gutenberg Blocks for News, Magazines, Blog Websites <= 5.0.31 - Authenticated (Contributor+) Stored Cross-Site Scripting via ‘moreResultsText’ Block Attribute
- db.gcve.eu
Download Manager: 寄稿者権限による不正なスクリプト埋め込みの可能性
- 対象: Download Manager
- 影響バージョン: 0 〜 3.3.61 (を含む)
- 深刻度: 6.4 / 10 (中程度)
どんな危険があるか
この脆弱性もクロスサイトスクリプティング(XSS)の危険性をもたらします。寄稿者以上の権限を持つ攻撃者によって、ショートコードの属性を悪用してウェブサイトのページに悪意のあるスクリプトが埋め込まれ、そのページを閲覧したユーザーのブラウザ上で実行される可能性があります。
今すぐやること
Download Managerプラグインのバージョン3.3.61以前をご利用の場合、速やかに最新バージョンへの更新を検討してください。公式情報を確認し、修正版がリリースされているか確認しましょう。
出典
- Wordfence – Download Manager <= 3.3.61 - Authenticated (Contributor+) Stored Cross-Site Scripting via ‘note_before’ and ‘note_after’ Shortcode Attributes
- db.gcve.eu
Customer Reviews for WooCommerce: 寄稿者権限による不正なスクリプト埋め込みの可能性
- 対象: Customer Reviews for WooCommerce
- 影響バージョン: 0 〜 5.113.0 (を含む)
- 深刻度: 6.4 / 10 (中程度)
どんな危険があるか
この脆弱性もクロスサイトスクリプティング(XSS)の危険性をもたらします。寄稿者以上の権限を持つ攻撃者によって、ショートコードの属性を悪用してウェブサイトのページに悪意のあるスクリプトが埋め込まれ、そのページを閲覧したユーザーのブラウザ上で実行される可能性があります。
今すぐやること
Customer Reviews for WooCommerceプラグインのバージョン5.113.0以前をご利用の場合、速やかに最新バージョンへの更新を検討してください。公式情報を確認し、修正版がリリースされているか確認しましょう。
出典
- Wordfence – Customer Reviews for WooCommerce <= 5.113.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via ‘color’ Shortcode Attribute
- db.gcve.eu
Bookero.pl – system rezerwacji online: 寄稿者権限による不正なスクリプト埋め込みの可能性
- 対象: Bookero.pl – system rezerwacji online
- 影響バージョン: 0 〜 2.2 (を含む)
- 深刻度: 6.4 / 10 (中程度)
どんな危険があるか
この脆弱性もクロスサイトスクリプティング(XSS)の危険性をもたらします。寄稿者以上の権限を持つ攻撃者によって、ショートコードの属性を悪用してウェブサイトのページに悪意のあるスクリプトが埋め込まれ、そのページを閲覧したユーザーのブラウザ上で実行される可能性があります。
今すぐやること
Bookero.plプラグインのバージョン2.2以前をご利用の場合、速やかに最新バージョンへの更新を検討してください。公式情報を確認し、修正版がリリースされているか確認しましょう。
出典
- Wordfence – Bookero.pl <= 2.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes
- db.gcve.eu
AcyMailing: 寄稿者権限による不正なスクリプト埋め込みの可能性
- 対象: AcyMailing – An Ultimate Newsletter Plugin and Marketing Automation Solution for WordPress
- 影響バージョン: 0 〜 10.10.2 (を含む)
- 深刻度: 6.4 / 10 (中程度)
どんな危険があるか
この脆弱性もクロスサイトスクリプティング(XSS)の危険性をもたらします。寄稿者以上の権限を持つ攻撃者によって、ショートコードの属性を悪用してウェブサイトのページに悪意のあるスクリプトが埋め込まれ、そのページを閲覧したユーザーのブラウザ上で実行される可能性があります。
今すぐやること
AcyMailingプラグインのバージョン10.10.2以前をご利用の場合、速やかに最新バージョンへの更新を検討してください。公式情報を確認し、修正版がリリースされているか確認しましょう。
出典
- Wordfence – AcyMailing <= 10.10.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via ‘alignment’ Attribute
- db.gcve.eu
Block, Suspend, Report for BuddyPress: 購読者権限による不正なスクリプト埋め込みの可能性
- 対象: Block, Suspend, Report for BuddyPress
- 影響バージョン: 0 〜 3.6.4 (を含む)
- 深刻度: 6.4 / 10 (中程度)
どんな危険があるか
この脆弱性もクロスサイトスクリプティング(XSS)の危険性をもたらします。購読者以上の権限を持つ攻撃者によって、ウェブサイトのページに悪意のあるスクリプトが埋め込まれ、そのページを閲覧したユーザーのブラウザ上で実行される可能性があります。
今すぐやること
Block, Suspend, Report for BuddyPressプラグインのバージョン3.6.4以前をご利用の場合、速やかに最新バージョンへの更新を検討してください。公式情報を確認し、修正版がリリースされているか確認しましょう。
出典
- Wordfence – Block, Suspend, Report for BuddyPress <= 3.6.4 - Authenticated (Subscriber+) Stored Cross-Site Scripting via ‘link’ Parameter
- db.gcve.eu
Mang Board WP: 不正なリンククリックでスクリプトが実行される可能性
- 対象: Mang Board WP
- 影響バージョン: 0 〜 2.3.4 (を含む)
- 深刻度: 6.1 / 10 (中程度)
どんな危険があるか
この脆弱性は、リフレクテッドクロスサイトスクリプティング(Reflected XSS)の危険性をもたらします。認証されていない攻撃者が、悪意のあるリンクを作成し、ユーザーにクリックさせることで、そのユーザーのブラウザ上で任意のスクリプトが実行される可能性があります。これにより、セッション情報の窃取などが行われる危険性があります。
今すぐやること
Mang Board WPプラグインのバージョン2.3.4以前をご利用の場合、速やかに最新バージョンへの更新を検討してください。公式情報を確認し、修正版がリリースされているか確認しましょう。
出典
Fediverse Embeds: 認証なしでサイトが任意のURLに接続してしまう可能性 (SSRF)
- 対象: Fediverse Embeds
- 影響バージョン: 0 〜 1.5.8 (を含まない)
- 深刻度: 5.3 / 10 (中程度)
どんな危険があるか
この脆弱性があると、認証されていない攻撃者によって、サイトが内部ネットワーク上の任意のURLに接続させられ、その応答内容を読み取られてしまう可能性があります(Server-Side Request Forgery; SSRF)。これにより、サイト内部の機密情報が漏えいしたり、不正なアクセスポイントとして悪用されたりする危険性があります。
今すぐやること
Fediverse Embedsプラグインのバージョン1.5.8より古いバージョンをお使いの場合、速やかに最新バージョンに更新してください。公式情報を確認し、修正版がリリースされていることを確認しましょう。
出典
WP Support Plus Responsive Ticket System: 認証なしでサポートチケットにアクセスされる可能性
- 対象: WP Support Plus Responsive Ticket System
- 影響バージョン: 0 〜 9.1.2 (を含む)
- 深刻度: 5.3 / 10 (中程度)
どんな危険があるか
この脆弱性があると、認証されていない攻撃者がゲストセッションクッキーを偽造し、任意のチケット所有者(メールアドレスで識別)になりすまして、その人のサポートチケットを読み取ったり、返信したり、閉じたりする可能性があります。これにより、顧客のプライバシーが侵害される危険性があります。
今すぐやること
WP Support Plus Responsive Ticket Systemプラグインのバージョン9.1.2以前をご利用の場合、速やかに最新バージョンへの更新を検討してください。公式情報を確認し、修正版がリリースされているか確認しましょう。
出典
- WPScan – WP Support Plus Responsive Ticket System <= 9.1.2 - Unauthenticated Support Ticket Access via Session Cookie Forgery
- db.gcve.eu
WP DSGVO Tools (GDPR): 認証なしで個人情報が漏えいする可能性
- 対象: WP DSGVO Tools (GDPR)
- 影響バージョン: 0 〜 3.1.40 (を含まない)
- 深刻度: 5.3 / 10 (中程度)
どんな危険があるか
この脆弱性があると、認証されていない攻撃者が、メールアドレスを指定するだけで、任意のユーザー、顧客、またはコメント投稿者の完全な個人データ(氏名、住所、電話番号、メールアドレス、コメント内容など)をエクスポートしてダウンロードできてしまう可能性があります。これにより、重大な個人情報漏えいにつながる危険性があります。
今すぐやること
WP DSGVO Tools (GDPR)プラグインのバージョン3.1.40より古いバージョンをお使いの場合、速やかに最新バージョンに更新してください。公式情報を確認し、修正版がリリースされていることを確認しましょう。
出典
- WPScan – WP DSGVO Tools (GDPR) < 3.1.40 - Unauthenticated Sensitive Information Disclosure via Subject Access Request
- db.gcve.eu
日頃の備え
WordPressサイトのセキュリティを維持するためには、日頃からの対策が非常に重要です。以下の点を心がけましょう。
- プラグインとテーマの自動更新の有効化: 信頼できるプラグインやテーマは、セキュリティアップデートを自動で適用するように設定しましょう。
- 定期的なバックアップ: 万が一の事態に備え、サイト全体のバックアップを定期的に取得し、安全な場所に保管しましょう。
- 不要なプラグインやテーマの削除: 使っていないプラグインやテーマは、脆弱性の原因となる可能性があるため、削除しましょう。
- 強力なパスワードの使用: 管理者アカウントだけでなく、すべてのユーザーアカウントで複雑で推測されにくいパスワードを設定しましょう。
- 公式情報のこまめなチェック: 利用中のプラグインやテーマの公式ウェブサイトや、セキュリティ情報サイトを定期的に確認しましょう。