skip to content
WordPress脆弱性速報

【2026年07月14日】WordPress プラグイン脆弱性まとめ: Aimogen Pro, Realtyna Organic IDX など 15 件

/ 19 min read

Table of Contents

本日のまとめ

本日、WordPressサイトの運営者にとって特に注意が必要な、合計15件の脆弱性情報が公開されました。 特に「Aimogen Pro」「Realtyna Organic IDX plugin」「WoowBot Pro Max」「SureDash」などのプラグイン、および「Grand Photography」「777」などのテーマに、サイトの完全な乗っ取りにつながる可能性のある「緊急」レベルの危険性が報告されています。 ご自身のサイトでこれらのプラグインやテーマを使用している場合は、早急な確認と対策が求められます。

Aimogen Pro: 危険なファイルのアップロードが可能に

  • 対象: CodeRevolution / Aimogen Pro
  • 影響バージョン: 0 から 2.8.3 まで
  • 深刻度: 10.0 / 10 (緊急)

どんな危険があるか

この脆弱性を悪用されると、攻撃者がWordPressサイトに悪意のあるファイルを自由にアップロードし、そのファイルを実行できてしまう可能性があります。これにより、サイトが完全に制御され、データ改ざんや情報漏洩、最悪の場合はサイトの乗っ取りにつながる非常に深刻な危険があります。

今すぐやること

Aimogen Proプラグインをバージョン2.8.3より新しい、修正済みのバージョンに更新してください。もし修正版がまだ提供されていない場合は、公式情報を確認し、更新されるまでプラグインを一時的に無効化することを強く推奨します。

出典

Realtyna Organic IDX plugin: リモートからのコード実行の危険性

  • 対象: Realtyna / Realtyna Organic IDX plugin
  • 影響バージョン: 0 から 5.2.0 まで
  • 深刻度: 10.0 / 10 (緊急)

どんな危険があるか

この脆弱性により、攻撃者がリモート(遠隔)からWordPressサイトに悪意のあるコードを挿入し、それを実行できる可能性があります。サイトのデータベースを操作されたり、サーバー上で任意のプログラムを実行されたりすることで、サイトの改ざんや乗っ取りといった極めて深刻な被害を受ける危険があります。

今すぐやること

Realtyna Organic IDX pluginをバージョン5.2.0より新しい、修正済みのバージョンに更新してください。更新版が提供されていない場合は、プラグインを一時的に無効化し、公式からの情報更新を待ちましょう。

出典

WoowBot Pro Max: 危険なファイルのアップロードが可能に

  • 対象: quantumcloud / WoowBot Pro Max
  • 影響バージョン: 0 から 14.1.7 まで
  • 深刻度: 9.9 / 10 (緊急)

どんな危険があるか

この脆弱性を悪用されると、攻撃者がサイトに悪意のあるファイルをアップロードし、実行できてしまう可能性があります。結果として、サイトが完全に制御され、個人情報の漏洩やサイトの改ざん、悪質なコンテンツの埋め込みなど、多大な被害につながる恐れがあります。

今すぐやること

WoowBot Pro Maxプラグインをバージョン14.1.7より新しい、修正済みのバージョンに更新してください。更新版の提供状況は公式情報を確認し、もし修正版がまだであれば、一時的にプラグインを無効化することを検討してください。

出典

SureDash: サイトのファイルを削除される危険性

  • 対象: Brainstorm Force / SureDash
  • 影響バージョン: 0 から 1.8.0 まで
  • 深刻度: 9.9 / 10 (緊急)

どんな危険があるか

この脆弱性により、攻撃者がWordPressサイト内の任意のファイルを削除できてしまう可能性があります。これにより、サイトが正常に動作しなくなったり、重要な設定ファイルが削除されてサイト全体が破壊されたりする危険性があります。データの損失やサイトの停止につながる恐れがあります。

今すぐやること

SureDashプラグインをバージョン1.8.0より新しい、修正済みのバージョンに更新してください。更新版が提供されていない場合は、公式情報を確認し、一時的な無効化を検討してください。

出典

Grand Photography: サイトが乗っ取られるPHPオブジェクトインジェクション

  • 対象: ThemeGoods / Grand Photography (テーマ)
  • 影響バージョン: 0 から 5.7.8 まで
  • 深刻度: 9.8 / 10 (緊急)

どんな危険があるか

この脆弱性はPHPのオブジェクトインジェクションと呼ばれるもので、悪用されると攻撃者がサイト上で悪意のあるコードを実行できる可能性があります。これにより、サイトのデータが盗まれたり、改ざんされたり、最悪の場合はサイトが完全に制御されてしまう危険性があります。

今すぐやること

Grand Photographyテーマをバージョン5.7.8より新しい、修正済みのバージョンに更新してください。公式情報を確認し、もし修正版がまだであれば、一時的に別の安全なテーマに切り替えることを検討してください。

出典

Directorist: サイトが乗っ取られるPHPオブジェクトインジェクション

  • 対象: wpWax / Directorist
  • 影響バージョン: 0 から 8.8.2 まで
  • 深刻度: 9.8 / 10 (緊急)

どんな危険があるか

このPHPオブジェクトインジェクションの脆弱性により、攻撃者がサイトに悪意のあるコードを挿入し、それを実行できる可能性があります。サイトのデータが盗まれたり、重要な設定が変更されたり、サイトが改ざんされたりするなど、非常に深刻な影響が出る恐れがあります。

今すぐやること

Directoristプラグインをバージョン8.8.2より新しい、修正済みのバージョンに更新してください。更新版の提供状況は公式情報を確認し、もし修正版がまだであれば、一時的にプラグインを無効化することを検討してください。

出典

MailOptin: 権限のないユーザーが管理者になれる危険性

  • 対象: properfraction / MailOptin
  • 影響バージョン: 0 から 1.2.77.3 まで
  • 深刻度: 9.8 / 10 (緊急)

どんな危険があるか

この脆弱性により、権限のないユーザーが管理者権限などの高い権限を不正に取得できてしまう可能性があります。サイトの完全な制御を奪われ、データ破壊、コンテンツの改ざん、不正なスパム送信など、サイト運営に壊滅的な被害をもたらす危険性があります。

今すぐやること

MailOptinプラグインをバージョン1.2.77.3より新しい、修正済みのバージョンに更新してください。公式情報を確認し、もし修正版がまだ提供されていない場合は、プラグインの一時的な無効化を強く推奨します。

出典

777: サイトが乗っ取られるPHPオブジェクトインジェクション

  • 対象: axiomthemes / 777 (テーマ)
  • 影響バージョン: 0 から 1.13.0 まで
  • 深刻度: 9.8 / 10 (緊急)

どんな危険があるか

このPHPオブジェクトインジェクションの脆弱性により、攻撃者がサイトに悪意のあるコードを挿入し、実行できる可能性があります。これにより、サイトのデータが盗まれたり、改ざんされたり、悪質なコンテンツが埋め込まれたりするなど、サイトの信頼性を損なう深刻な危険があります。

今すぐやること

777テーマをバージョン1.13.0より新しい、修正済みのバージョンに更新してください。公式情報を確認し、もし修正版がまだであれば、一時的に別の安全なテーマに切り替えることを検討してください。

出典

Kirki: サイトが乗っ取られるPHPオブジェクトインジェクション

  • 対象: Themeum / Kirki
  • 影響バージョン: 0 から 6.0.12 まで
  • 深刻度: 9.8 / 10 (緊急)

どんな危険があるか

このPHPオブジェクトインジェクションの脆弱性により、攻撃者がサイトに悪意のあるコードを挿入し、実行できる可能性があります。サイトのデータベースを不正に操作されたり、重要なファイルが削除・改ざんされたりして、サイトの機能が停止するなどの被害が出る危険性があります。

今すぐやること

Kirkiプラグインをバージョン6.0.12より新しい、修正済みのバージョンに更新してください。公式情報を確認し、もし修正版がまだであれば、一時的にプラグインを無効化することを検討してください。

出典

RT-Theme 18 | Extensions: サイトが乗っ取られるPHPオブジェクトインジェクション

  • 対象: stmcan / RT-Theme 18 | Extensions
  • 影響バージョン: 0 から 2.5 まで
  • 深刻度: 9.8 / 10 (緊急)

どんな危険があるか

このPHPオブジェクトインジェクションの脆弱性により、攻撃者がサイトに悪意のあるコードを挿入し、それを実行できる可能性があります。これにより、サイトのデータが盗まれたり、重要な設定が変更されたり、サイトが改ざんされたりするなど、非常に深刻な影響が出る恐れがあります。

今すぐやること

RT-Theme 18 | Extensionsプラグインをバージョン2.5より新しい、修正済みのバージョンに更新してください。更新版の提供状況は公式情報を確認し、もし修正版がまだであれば、一時的にプラグインを無効化することを検討してください。

出典

Amelia: 顧客情報などが盗まれるSQLインジェクション

  • 対象: Melograno Venture Studio / Amelia
  • 影響バージョン: 0 から 2.4.2 まで
  • 深刻度: 9.3 / 10 (緊急)

どんな危険があるか

このSQLインジェクションの脆弱性により、攻撃者がサイトのデータベースに対して不正な命令を実行できてしまう可能性があります。これにより、予約情報や顧客の個人情報などが漏洩したり、データベースの内容が改ざんされたりする危険性があります。個人情報保護の観点からも非常に危険な脆弱性です。

今すぐやること

Ameliaプラグインをバージョン2.4.2より新しい、修正済みのバージョンに更新してください。更新版の提供状況は公式情報を確認し、もし修正版がまだであれば、一時的にプラグインを無効化することを検討してください。

出典

Simple Business Directory Pro: データベース情報が盗まれるSQLインジェクション

  • 対象: quantumcloud / Simple Business Directory Pro
  • 影響バージョン: 0 から 15.9.4 まで
  • 深刻度: 9.3 / 10 (緊急)

どんな危険があるか

このSQLインジェクションの脆弱性により、攻撃者がサイトのデータベースに不正にアクセスし、機密情報を盗み出したり、サイトのコンテンツを改ざんしたりする危険があります。ビジネスディレクトリの利用者の情報や、サイトの重要なデータが危険にさらされる可能性があります。

今すぐやること

Simple Business Directory Proプラグインをバージョン15.9.4より新しい、修正済みのバージョンに更新してください。公式情報を確認し、もし修正版がまだであれば、一時的にプラグインを無効化することを検討してください。

出典

AcyMailing SMTP Newsletter: ユーザー情報が盗まれるSQLインジェクション

  • 対象: AcyMailing Newsletter Team / AcyMailing SMTP Newsletter
  • 影響バージョン: 0 から 10.11.0 まで
  • 深刻度: 9.3 / 10 (緊急)

どんな危険があるか

このSQLインジェクションの脆弱性により、攻撃者がサイトのデータベースに不正にアクセスし、ユーザー情報やメールリストなどの機密情報を取得したり、サイトの内容を改ざんしたりする可能性があります。これにより、ユーザーへの不正なメール送信やスパム行為に悪用される危険性があります。

今すぐやること

AcyMailing SMTP Newsletterプラグインをバージョン10.11.0より新しい、修正済みのバージョンに更新してください。公式情報を確認し、もし修正版がまだであれば、一時的にプラグインを無効化することを検討してください。

出典

LatePoint: 予約情報などが盗まれるSQLインジェクション

  • 対象: LatePoint / LatePoint
  • 影響バージョン: 0 から 5.6.3 まで
  • 深刻度: 9.3 / 10 (緊急)

どんな危険があるか

このSQLインジェクションの脆弱性により、攻撃者がサイトのデータベースに対して不正な命令を実行できる可能性があります。これにより、予約情報などの顧客データが漏洩したり、サイトの運営が妨害されたりする危険があります。サイトの信頼性にも大きな影響を与えかねません。

今すぐやること

LatePointプラグインをバージョン5.6.3より新しい、修正済みのバージョンに更新してください。公式情報を確認し、もし修正版がまだであれば、一時的にプラグインを無効化することを検討してください。

出典

Kirki: データベース情報が盗まれるSQLインジェクション

  • 対象: Themeum / Kirki
  • 影響バージョン: 0 から 6.0.12 まで
  • 深刻度: 9.3 / 10 (緊急)

どんな危険があるか

このSQLインジェクションの脆弱性により、攻撃者がサイトのデータベースに不正にアクセスし、重要な情報を盗んだり、サイトの設定を不正に変更したりする可能性があります。個人情報やサイトの運営に関わる情報が危険にさらされる恐れがあります。

今すぐやること

Kirkiプラグインをバージョン6.0.12より新しい、修正済みのバージョンに更新してください。公式情報を確認し、もし修正版がまだであれば、一時的にプラグインを無効化することを検討してください。

出典

日頃の備え

WordPressサイトのセキュリティを維持するためには、日頃からの対策が非常に重要です。常に最新バージョンへの更新を心がけ、信頼できる開発元から提供されているプラグインやテーマのみを使用しましょう。また、万が一の事態に備えて、定期的にサイトのバックアップを取っておくこと、不要なプラグインやテーマは削除しておくことも大切です。

出典