【2026年07月11日】WordPress プラグイン脆弱性まとめ: miniOrange、Super Forms、GEO my WP など 15 件
/ 21 min read
Table of Contents
本日のまとめ
本日、WordPressプラグイン「miniOrange OAuth SSO」「Super Forms」「Instant Appointment」「GEO my WP」「Salon Booking System」「Ultimate Member」「Hide My WP Lite」「Chat Help」「SureForms」「Post Export Import with Media」「SEO Plugin by Squirrly SEO」「TelSender」とテーマ「EscortWP」、そして「miniOrange Social Login and Register」「WP Business Intelligence Lite」に緊急または重要な脆弱性情報が合計15件公開されました。特に認証バイパス、任意ファイルアップロード、SQLインジェクションなど、サイトに壊滅的な影響を与える可能性のある危険な内容が含まれています。
miniOrange OAuth Single Sign On - SSO (OAuth Client): 認証バイパスの危険
- 対象: OAuth Single Sign On - SSO (OAuth Client)
- 影響バージョン: 公式情報を確認してください 〜 38.5.8 (affected)
- 深刻度: 9.8 / 10 (緊急)
どんな危険があるか
この脆弱性が悪用されると、認証システムを迂回され、不正な方法でパスワードがリセットされてしまう可能性があります。これにより、攻撃者がサイトのユーザーアカウントに不正にログインできるようになり、最悪の場合、サイト全体が乗っ取られる危険があります。
今すぐやること
開発元から修正版が提供されている可能性がありますので、公式情報を確認し、速やかに最新版に更新してください。対応が難しい場合は、一時的にプラグインを無効化することも検討してください。
出典
miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn): 管理者アカウント乗っ取りの危険
- 対象: miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn)
- 影響バージョン: 0 〜 7.7.0 (affected)
- 深刻度: 9.8 / 10 (緊急)
どんな危険があるか
この脆弱性により、認証されていない攻撃者がプロフィール完成フローを悪用して管理者アカウントを乗っ取ることが可能です。OTP(ワンタイムパスワード)の検証に問題があり、管理者宛てに送られたOTPを攻撃者が推測・利用できてしまうため、結果としてサイトの管理者権限を完全に奪われてしまいます。
今すぐやること
この脆弱性は非常に危険です。速やかにプラグインを最新バージョンに更新してください。修正版が利用できない場合は、一時的にプラグインを無効化することを強く推奨します。
出典
Super Forms – Drag & Drop Form Builder: 未認証で任意ファイルをアップロードされる危険
- 対象: Super Forms – Drag & Drop Form Builder
- 影響バージョン: 0 〜 6.3.313 (affected)
- 深刻度: 9.8 / 10 (緊急)
どんな危険があるか
このプラグインには、ファイルをアップロードする際のファイルの種類チェックが不十分な脆弱性があります。認証されていない第三者でも、任意のファイルをサイトにアップロードできてしまいます。これにより、悪意のあるプログラム(シェルスクリプトなど)をアップロードされ、サイトが乗っ取られたり、破壊されたりする可能性があります。
今すぐやること
開発元から修正版が提供されている可能性がありますので、公式情報を確認し、速やかに最新版に更新してください。もし修正版が出ていない場合は、プラグインの一時的な無効化を強く検討してください。
出典
Instant Appointment: 未認証で任意ファイルをアップロードされる危険
- 対象: Instant Appointment
- 影響バージョン: 0 〜 1.2 (affected)
- 深刻度: 9.8 / 10 (緊急)
どんな危険があるか
この脆弱性により、認証されていない攻撃者がサイトに任意のファイルをアップロードできてしまいます。アップロードされたファイルが悪意のある実行ファイルだった場合、サイトのサーバー上で不正なコードが実行され、サイトのデータが破壊されたり、完全に制御を奪われたりする可能性があります。
今すぐやること
開発元から修正版が提供されている可能性がありますので、公式情報を確認し、速やかに最新版に更新してください。対応が難しい場合は、一時的にプラグインを無効化することも検討してください。
出典
GEO my WP: 未認証でデータベースを操作される危険 (SQLインジェクション)
- 対象: GEO my WP
- 影響バージョン: 0 〜 4.5.4 (affected)
- 深刻度: 9.1 / 10 (緊急)
どんな危険があるか
このプラグインには、SQLインジェクションと呼ばれる脆弱性があります。攻撃者は特定のパラメータを悪用することで、データベースに不正な命令を送り込み、データベース内の情報を盗み出したり、改ざんしたりする可能性があります。これにより、サイトの機密データが流出したり、サイトが正常に機能しなくなる危険があります。
今すぐやること
この脆弱性はバージョン4.5.5で修正されています。速やかにGEO my WPプラグインをバージョン4.5.5以降に更新してください。
出典
Salon Booking System – Free Version: CSRFを悪用されリモートコードを実行される危険
- 対象: Salon Booking System – Free Version
- 影響バージョン: 0 〜 10.30.32 (affected)
- 深刻度: 8.8 / 10 (重要)
どんな危険があるか
この脆弱性により、攻撃者はCSRF(クロスサイトリクエストフォージェリ)と呼ばれる手法を悪用し、管理者が意図しない操作を実行させることができます。具体的には、ウェブサイトの管理者が悪意のあるリンクをクリックするなどの行為を促されると、攻撃者がサイト上に任意のPHPコードを注入し、結果としてリモートからサイトを操作される危険性があります。
今すぐやること
開発元から修正版が提供されている可能性がありますので、公式情報を確認し、速やかに最新版に更新してください。管理者は不審なリンクをクリックしないよう注意し、セキュリティ対策を強化してください。
出典
WP Business Intelligence Lite: 購読者レベルでも権限を昇格される危険
- 対象: WP Business Intelligence Lite
- 影響バージョン: 0 〜 3.2.0 (affected)
- 深刻度: 8.0 / 10 (重要)
どんな危険があるか
この脆弱性により、最低限の権限(購読者レベル)を持つ認証済みユーザーが、本来アクセスできないはずのSQLクエリを変更できてしまいます。管理者がその変更されたクエリを表示すると、攻撃者が任意のSQLを実行できる状態になり、最終的に管理者の権限を奪われる「権限昇格」につながる危険性があります。
今すぐやること
開発元から修正版が提供されている可能性がありますので、公式情報を確認し、速やかに最新版に更新してください。対応が難しい場合は、一時的にプラグインを無効化することも検討してください。
出典
Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin: 未認証でデータベースを操作される危険 (SQLインジェクション)
- 対象: Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin
- 影響バージョン: 0 〜 2.10.1 (affected)
- 深刻度: 7.5 / 10 (重要)
どんな危険があるか
このプラグインには、未認証のユーザーでも利用できるSQLインジェクションの脆弱性があります。攻撃者は検索機能のパラメータを悪用して、データベースから機密情報を抜き出すことが可能です。これにより、ユーザー情報やその他の重要なデータが外部に流出する危険性があります。
今すぐやること
開発元から修正版が提供されている可能性がありますので、公式情報を確認し、速やかに最新版に更新してください。Wordfenceの情報では2.10.1まで影響があるとされているため、最新版への速やかな更新を推奨します。
出典
Hide My WP Lite: 未認証でサイトのファイルを読み取られる危険
- 対象: Hide My WP Lite
- 影響バージョン: 0 〜 1.3 (affected)
- 深刻度: 7.5 / 10 (重要)
どんな危険があるか
この脆弱性により、認証されていない攻撃者が、WordPressサイトの重要な設定ファイル(例: wp-config.php)を含む任意のファイルを読み取ることが可能です。これにより、データベースの接続情報やパスワードといった非常に機密性の高い情報が漏洩する危険があります。なお、この悪用にはElementorプラグインが有効化されている必要があります。
今すぐやること
開発元から修正版が提供されている可能性がありますので、公式情報を確認し、速やかに最新版に更新してください。Elementorプラグインを使用している場合は特に注意が必要です。対応が難しい場合は、一時的にプラグインを無効化することも検討してください。
出典
EscortWP: ベンダー作成のバックドアによるコンテンツ削除の危険
- 対象: EscortWP (テーマ)
- 影響バージョン: 0 〜 3.6.2 (affected)
- 深刻度: 7.5 / 10 (重要)
どんな危険があるか
このWordPressテーマには、開発元が意図的に仕込んだバックドアが存在します。これにより、認証されていない攻撃者が特定の鍵を知っていれば、サイト上のすべてのコンテンツを恒久的に削除できてしまいます。さらに、サイトのURL、管理者メールアドレス、ライセンスキーが第三者サーバーに密かに送信される危険もあります。
今すぐやること
このテーマの利用は非常に危険です。直ちにEscortWPテーマの利用を停止し、別の安全なテーマへの切り替えを強く検討してください。また、サイトに不正なファイルがないかを確認し、必要であればサイトのクリーンアップを行ってください。
出典
Chat Help – Click to Chat Button & Form: 未認証で機密情報が漏えいする危険
- 対象: ChatHelp – Click to Chat Button, WooCommerce Chat to Order & Floating Chat Form (Chat Help – Click to Chat Button & Form)
- 影響バージョン: 0 〜 3.1.3 (affected)
- 深刻度: 7.5 / 10 (重要)
どんな危険があるか
このプラグインには、REST APIエンドポイントを介して認証なしに機密情報が漏えいする脆弱性があります。攻撃者はこの脆弱性を悪用することで、顧客の名前、メールアドレス、電話番号、WhatsAppメッセージ、IPアドレスを含む正確な位置情報、デバイス情報、さらにはログイン中のユーザーのWordPressアカウント情報(ユーザーID、ユーザー名、メールアドレスなど)を抜き出せる危険性があります。
今すぐやること
開発元から修正版が提供されている可能性がありますので、公式情報を確認し、速やかに最新版に更新してください。顧客の個人情報に関わるため、早急な対応が必要です。
出典
SureForms – Drag and Drop Form Builder for WordPress: 未認証で決済金額を操作される危険
- 対象: SureForms – Drag & Drop Contact Form & Form Builder, Payment Form, Survey, Quiz & Calculator (SureForms – Drag and Drop Form Builder for WordPress)
- 影響バージョン: 0 〜 2.2.1 (affected)
- 深刻度: 7.5 / 10 (重要)
どんな危険があるか
このプラグインには入力検証の不備があり、Stripe決済フォームで支払金額をユーザーが自由に操作できる脆弱性があります。認証されていない攻撃者がこれを悪用すると、商品の価格を任意の低い金額に変更して購入できてしまうため、ビジネスに直接的な金銭的損害を与える可能性があります。
今すぐやること
この脆弱性はバージョン2.2.2で修正されています。速やかにSureFormsプラグインをバージョン2.2.2以降に更新してください。オンラインストアを運営している場合は特に早急な対応が必要です。
出典
Post Export Import with Media: 管理者権限で任意ファイルをアップロードされる危険
- 対象: Post Export Import with Media
- 影響バージョン: 0 〜 1.13.1 (affected)
- 深刻度: 7.2 / 10 (重要)
どんな危険があるか
このプラグインには、ZIPファイルのメディアインポート機能にファイルアップロードの脆弱性があります。管理者権限を持つユーザーが、ファイル名の末尾にドットを追加するトリックを使うことで、本来許可されていない実行可能なファイルをアップロードできてしまいます。これにより、リモートからサイトのサーバー上で任意のコードを実行される可能性があります。
今すぐやること
開発元から修正版が提供されている可能性がありますので、公式情報を確認し、速やかに最新版に更新してください。管理者アカウントのセキュリティ管理を徹底し、信頼できないファイルは決してアップロードしないよう注意してください。
出典
SEO Plugin by Squirrly SEO: 未認証で不正な投稿が作成され、XSS攻撃を受ける危険
- 対象: GEO Plugin by Squirrly SEO (SEO Plugin by Squirrly SEO)
- 影響バージョン: 0 〜 14.0.0 (affected)
- 深刻度: 7.2 / 10 (重要)
どんな危険があるか
このSEOプラグインには、APIトークンの漏洩と入力値の検証不足により、複数の脆弱性があります。認証されていない攻撃者がこれを悪用すると、サイト上に任意の投稿を勝手に作成できてしまいます。さらに、Advanced Custom Fieldsプラグインがインストールされている場合、悪意のあるウェブスクリプトをページに注入され、そのページにアクセスしたユーザーがXSS(クロスサイトスクリプティング)攻撃を受ける危険性があります。
今すぐやること
開発元から修正版が提供されている可能性がありますので、公式情報を確認し、速やかに最新版に更新してください。Advanced Custom Fieldsプラグインを使用している場合は特に注意が必要です。
出典
TelSender – Сontact form 7, Events, Wpforms, ninja forms and woocommerce to telegram bot: 未認証でXSS攻撃を受ける危険
- 対象: TelSender – Сontact form 7, Events, Wpforms, ninja forms and woocommerce to telegram bot
- 影響バージョン: 0 〜 1.14.14 (affected)
- 深刻度: 7.2 / 10 (重要)
どんな危険があるか
このプラグインには、Telegram APIの応答で送られてくるチャットタイトルに対する入力検証が不十分な脆弱性があります。認証されていない攻撃者がこれを悪用すると、悪意のあるチャットタイトルを介してスクリプトを注入し、管理者がTelSenderの設定ページを開き「Tested」ボタンをクリックした際にXSS(クロスサイトスクリプティング)攻撃が実行される危険性があります。
今すぐやること
開発元から修正版が提供されている可能性がありますので、公式情報を確認し、速やかに最新版に更新してください。管理者は不審なTelegramチャットタイトルには注意し、設定ページで不用意な操作を行わないよう注意してください。
出典
日頃の備え
WordPressサイトの安全を保つためには、日頃からの対策が不可欠です。今回のような脆弱性情報が出た際に迅速に対応できるよう、以下の点を心がけましょう。
- 定期的なバックアップ: 万が一の事態に備え、サイト全体のバックアップをこまめに取得しておきましょう。
- プラグイン・テーマの自動更新: 可能であれば、セキュリティアップデートが自動で適用されるよう設定を検討しましょう。
- 不要なプラグイン・テーマの削除: 利用していないものは無効化せず完全に削除し、攻撃対象を減らしましょう。
- セキュリティプラグインの導入: Wordfenceなどのセキュリティプラグインを導入し、不正なアクセスを監視しましょう。
- 情報収集: 定期的に信頼できる脆弱性情報を確認し、ご自身のサイトで使用しているものに影響がないか常にチェックしましょう。