WordPressプラグイン・テーマの脆弱性最新情報 第3回 2025年4月17日~4月23日までに報告された WordPress関連の脆弱性情報
2025年5月4日(日)11時35分 マイナビニュース
こんにちは。プライム・ストラテジーの相馬理紗です。
WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。
今回は、025年4月17日〜4月23日までに報告されたWordPress脆弱性のうち、Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。
WordPress.orgにおける“Active installations"が10万以上である
日本語の翻訳に対応している
深刻度が高い脆弱性
深刻度が高い脆弱性は以下3件です。
プラグイン:Custom Product Tabs for WooCommerce
この脆弱性は、ショップ運営者以上の権限を持つユーザーで認証済みの場合、PHPオブジェクトを挿入することを可能にします。
なお、このプラグイン単体にはPOPチェインはありません。つまり、WebサイトにPOPチェインを持つ他のプラグインやテーマが存在しない限り、この脆弱性の影響はありません。
もし、他にインストールされたプラグインやテーマにPOPチェインが存在する場合、攻撃者はそのPOPチェインによっては任意のファイルを削除したり、機密性のデータを取得したり、PHPコードを実行したりすることができます。ログイン (認証) が必要な攻撃ですが、POPチェインの有無が不明な場合はアップデートが必要です。
.
