WordPressプラグイン・テーマの脆弱性最新情報 第2回 2025年3月27日～4月9日までに報告された WordPress関連の脆弱性情報

こんにちは。プライム・ストラテジーの相馬理紗です。
WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。
今回は、2025年3月27日〜4月9日までに報告されたWordPress脆弱性のうち、Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。
WordPress.orgにおける“Active installations"が10万以上である
日本語の翻訳に対応している
深刻度が高い脆弱性
深刻度が高い脆弱性は以下2件です。
プラグイン: Advanced Order Export For WooCommerce
プラグイン: TablePress
これらの脆弱性は、ユーザーが自分のエクセル (XLSX) シートをアップロードできるサーバに細工されたシートを提供することによって、サーバファイルや機密情報が開示される可能性があるものです。
ファイルのアップロードには一般的に権限が必要となりますが、認証していない攻撃者のアップロードが許可されていないか確認が必要です。
プラグインが同梱するPHPライブラリ PhpSpreadsheet 1.29.1未満のすべてのバージョン、2.0.0から2.1.1未満のすべてのバージョン、2.2.0から2.3.0未満の全てのバージョンが影響を受けます。
他の脆弱性: 14件
以下、他の脆弱性14件を紹介しましょう。
プラグイン: ElementsKit Elementor Addons and Templates
プラグイン: Photo Gallery by 10Web
プラグイン: LuckyWP Table of Contents
プラグイン: Advanced Google reCAPTCHA
プラグイン: Responsive Lightbox & Gallery
この脆弱性は、プラグインが同梱するJavaScriptライブラリFancyBoxのバージョン1.3.4 から3.5.7までに存在する脆弱性に起因するものです。
プラグイン: Firelight Lightbox
この脆弱性は、プラグインが同梱するJavaScriptライブラリFancyBoxのバージョン1.3.4から3.5.7までに存在する脆弱性に起因するものです。
プラグイン: Pods
プラグイン: Enable Media Replace
プラグイン: Smush Image Optimization
プラグイン: Photo Gallery by 10Web
プラグイン: LuckyWP Table of Contents
プラグイン: Slider, Gallery, and Carousel by MetaSlider
プラグイン: Broken Link Checker by AIOSEO
.