基礎知識 2025.03.03 2025.03.03
【2025年2月】WordPress脆弱性情報&注目ニュース まとめ|WordPressを巡る対立が新たな局面へ──WP Engine顧客がAutomatticを集団訴訟 など
WordPressを巡る対立が新たな局面へ──WP Engine顧客がAutomatticを集団訴訟
WordPressの開発元Automatticと、ホスティングサービスを提供するWP Engineの対立が新たな局面を迎えました。WP Engineの顧客を代表し、オハイオ州のサイバーセキュリティ企業SecureSightの経営者ライアン・ケラー氏が、Automatticに対する集団訴訟を起こしたことが明らかになりました。
2025年2月21日に北カリフォルニア地区連邦地方裁判所に提出された訴状によると、ケラー氏は「AutomatticがWordPress.orgへのアクセスを制限し、WP Engineのビジネスを妨害した」と主張しています。その結果、多くのユーザーが混乱やセキュリティリスクに直面し、経済的な損害を受けたと訴えています。
ケラー氏は、「WordPress関連のソフトウェアは永久に無料で利用できると約束されてきた」と指摘しています。Automatticの措置は、WordPressの成長が成長する原動力となったオープンソースの理念に反する行為だと訴えています。
特にケラー氏自身、WP Engineのプランに年間3,300ドル(約50万円)を支払っていたとし、今回の措置によって代替ホスティングの検討に時間と費用を費やさざるを得なかったと語っています。同様の影響を受けたユーザーは多数いるとされ、訴訟の対象者は「2024年9月24日~12月10日までにWP EngineのWordPressホスティングを利用していたアメリカ国内の全顧客」となる予定です。その数は数十万人規模に達する可能性があります。
これに対し、Automatticは即座に反論しました。同社の広報担当者は、「ケラー氏の訴訟はWP Engineの主張を繰り返しているだけで、根拠がない」と述べ、「Automatticとマット・マレンウェッグ氏は、オープンソースの原則とWordPressコミュニティを守るために行動している」と強調しました。また、今回の集団訴訟についても「法廷で勝利を確信している」とコメントしています。
AutomatticとWP Engineだけでなく、そして数十万人のユーザーを巻き込んだ法廷闘争は、一部メディアで「核戦争」と表現されるほどの規模に広がっています。
今後の動向に注目が集まります。
>>AutomatticとWP Engineのこれまでの訴訟経緯について詳しくはこちらも参照
偽のGoogle reCAPTCHAを利用する「ClickFix」マルウェアの概要と対策
2024年12月以降、WordPressサイトを標的にした偽のGoogle reCAPTCHAを利用するマルウェアが世界で拡散しています。
訪問者にWindowsのPowershellコマンドを実行させ、PCを感染させる流れとのことです。
- サイト訪問者に対して(偽の)reCAPTCHA画面が表示される
- 「画像の中から車を選択する」などの確認作業を要求
- どれだけ正しく選択しても認証が通らない
- 「不安定なネットワーク環境」などの偽のエラーメッセージが表示される
- 「Windows + R」を押してコマンドを実行するよう指示され、クリップボードにコピーされた悪意のあるPowershellコマンドを実行させる。
- 悪意のあるJavaScriptが埋め込まれ、Binance Smart Chain経由でマルウェアが配信される(5200以上のサイトが感染)。
- 不正なプラグイン(ランダムな名前)やテーマファイル(functions.php)の改ざんを通じてマルウェアが挿入される。
- バックドアが設置され、攻撃者のアクセスが維持される。
マルウェアに感染すると、訪問者のPCがマルウェアに感染するほか、サイト管理者が感染に気づかない場合、Googleのセーフブラウジングによってサイトがブロックされる等の影響が考えられます。
以下の対策を抑えておきましょう。
ユーザー側の対策
- 「Windows + R」でコマンドを実行するよう求められたら無視。
- アンチウイルスなどのセキュリティツールを活用。
- 異常なサイトの挙動を確認したら管理者に報告。
サイト管理者側の対策
- 不審なプラグインやコードのチェック・削除。
- セキュリティプラグイン(Sucuri、Wordfence等)を導入。
- 定期的なバックアップで感染時に復旧可能にする。
なお、自分で対策が難しい場合は、WordPressのセキュリティ対策やバックアップなどの保守業務をプロに依頼することも可能です。
弊社でもWordPress保守サービスを提供していますので、お気軽にご相談ください。
>>WordPress保守・セキュリティ対策の無料相談はこちら
2025年2月度のWordPress脆弱性情報
ここからは2025年2月度に発見された脆弱性をご紹介します。
今月はWordPressや主要なプラグインに関連する脆弱性が50個発見されました。
自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストール、代替プラグインへの差し替えなどの対策を行いましょう。
各プラグインの正式な対応方法等については、それぞれの公式ページ等でご確認ください。
自社で対応が難しい場合には、WordPressのプロへの依頼も検討しましょう。
プラグインの脆弱性情報
- Post SMTP
- 深刻度: 緊急
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-0521
- インストール数: 400,000+
- 影響を受けるバージョン: Post SMTP <= 3.0.9
- 修正済みバージョン: Post SMTP 3.1.0
- Everest Forms
- 深刻度: 緊急
- 脆弱性: Arbitrary File Upload
- CVE: CVE-2025-1128
- インストール数: 100,000+
- 影響を受けるバージョン: Everest Forms <= 3.0.9.4
- 修正済みバージョン: Everest Forms 3.0.9.5
- Events Manager
- 深刻度: 緊急
- 脆弱性: SQL Injection
- CVE: CVE-2024-11260
- インストール数: 80,000+
- 影響を受けるバージョン: Events Manager <= 6.6.3
- 修正済みバージョン: Events Manager 6.6.4
- Jupiter X Core – Local File Inclusion
- 深刻度: 高
- 脆弱性: Local File Inclusion
- CVE: CVE-2025-0366
- インストール数: 90,000+
- 影響を受けるバージョン: Jupiter X Core <= 4.8.7
- 修正済みバージョン: Jupiter X Core 4.8.8
- WP Activity Log
- 深刻度: 高
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-0924
- インストール数: 200,000+
- 影響を受けるバージョン: WP Activity Log <= 5.2.9
- 修正済みバージョン: WP Activity Log 5.3.0
- Elementor Website Builder
- 深刻度: 高
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-54444
- インストール数: 10,000,000+
- 影響を受けるバージョン: Elementor Website Builder <= 3.25.10
- 修正済みバージョン: Elementor Website Builder 3.25.11
- Elementor Website Builder
- 深刻度: 高
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-13445
- インストール数: 10,000,000+
- 影響を受けるバージョン: Elementor Website Builder <= 3.27.4
- 修正済みバージョン: Elementor Website Builder 3.27.5
- Dynamic Conditions
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-22642
- インストール数: 60,000+
- 影響を受けるバージョン: Dynamic Conditions
- 修正済みバージョン: No Fix
- WPForms – Easy Form Builder for WordPress
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-13403
- インストール数: 6,000,000+
- 影響を受けるバージョン: WPForms – Easy Form Builder for WordPress <= 1.9.3.1
- 修正済みバージョン: WPForms 1.9.3.2
- Orbit Fox by ThemeIsle
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-22659
- インストール数: 200,000+
- 影響を受けるバージョン: Orbit Fox by ThemeIsle <= 2.10.44
- 修正済みバージョン: Orbit Fox by ThemeIsle 2.10.45
- The Plus Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-11829
- インストール数: 100,000+
- 影響を受けるバージョン: The Plus Addons for Elementor <= 6.1.9
- 修正済みバージョン: The Plus Addons for Elementor 6.2.0
- HT Mega – Absolute Addons For Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-12597
- インストール数: 90,000+
- 影響を受けるバージョン: HT Mega – Absolute Addons For Elementor <= 2.7.6
- 修正済みバージョン: HT Mega – Absolute Addons For Elementor 2.7.7
- Jupiter X Core – Arbitrary File Download
- 深刻度: 中
- 脆弱性: Arbitrary File Download
- CVE: CVE-2025-0365
- インストール数: 90,000+
- 影響を受けるバージョン: Jupiter X Core <= 4.8.7
- 修正済みバージョン: Jupiter X Core 4.8.8
- Qi Addons For Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-13699
- インストール数: 200,000+
- 影響を受けるバージョン: Qi Addons For Elementor <= 1.8.7
- 修正済みバージョン: Qi Addons For Elementor 1.8.8
- HT Mega – Absolute Addons For Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-12599
- インストール数: 90,000+
- 影響を受けるバージョン: HT Mega – Absolute Addons For Elementor <= 2.8.1
- 修正済みバージョン: HT Mega – Absolute Addons For Elementor 2.8.2
- Post and Page Builder by BoldGrid
- 深刻度: 中
- 脆弱性: Path Traversal
- CVE: CVE-2025-0859
- インストール数: 70,000+
- 影響を受けるバージョン: Post and Page Builder by BoldGrid <= 1.27.6
- 修正済みバージョン: Post and Page Builder by BoldGrid 1.27.7
- Rank Math SEO
- 深刻度: 中
- 脆弱性: Broken Access Control
- CVE: CVE-2024-13229
- インストール数: 3,000,000+
- 影響を受けるバージョン: Rank Math SEO <= 1.0.235
- 修正済みバージョン: Rank Math SEO 1.0.236
- Rank Math SEO
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-13227
- インストール数: 3,000,000+
- 影響を受けるバージョン: Rank Math SEO <= 1.0.235
- 修正済みバージョン: Rank Math SEO 1.0.236
- ElementsKit Elementor addons
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-1005
- インストール数: 1,000,000+
- 影響を受けるバージョン: ElementsKit Elementor addons <= 3.4.0
- 修正済みバージョン: ElementsKit Elementor addons 3.4.1
- Slider, Gallery, and Carousel by MetaSlider
- 深刻度: 中
- 脆弱性: PHP Object Injection
- CVE: CVE-2025-26763
- インストール数: 600,000+
- 影響を受けるバージョン: Slider, Gallery, and Carousel by MetaSlider <= 3.94.0
- 修正済みバージョン: Slider, Gallery, and Carousel by MetaSlider 3.95.0
- WP Ghost (Hide My WP Ghost)
- 深刻度: 中
- 脆弱性: Bypass Vulnerability
- CVE: CVE-2024-13794
- インストール数: 200,000+
- 影響を受けるバージョン: WP Ghost (Hide My WP Ghost) <= 5.4.00
- 修正済みバージョン: WP Ghost (Hide My WP Ghost) 5.4.01
- Widget Options
- 深刻度: 中
- 脆弱性: Arbitrary Code Execution
- CVE: CVE-2025-22630
- インストール数: 100,000+
- 影響を受けるバージョン: Widget Options <= 4.1.0
- 修正済みバージョン: Widget Options 4.1.1
- Brizy
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-10322
- インストール数: 80,000+
- 影響を受けるバージョン: Brizy <= 2.6.8
- 修正済みバージョン: Brizy 2.6.9
- Brizy
- 深刻度: 中
- 脆弱性: Arbitrary File Upload
- CVE: CVE-2024-10960
- インストール数: 80,000+
- 影響を受けるバージョン: Brizy <= 2.6.4
- 修正済みバージョン: Brizy 2.6.5
- WP Booking Calendar
- 深刻度: 中
- 脆弱性: Broken Access Control
- CVE: CVE-2024-13821
- インストール数: 50,000+
- 影響を受けるバージョン: WP Booking Calendar <= 10.10.0
- 修正済みバージョン: WP Booking Calendar 10.10.1
- ElementsKit Elementor addons
- 深刻度: 中
- 脆弱性: Broken Access Control
- CVE: CVE-2025-0968
- インストール数: 1,000,000+
- 影響を受けるバージョン: ElementsKit Elementor addons <= 3.4.0
- 修正済みバージョン: ElementsKit Elementor addons 3.4.1
- SVG Support
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2022-23638
- インストール数: 1,000,000+
- 影響を受けるバージョン: SVG Support <= 2.5.8
- 修正済みバージョン: SVG Support 2.5.9
- SVG Support
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-10222
- インストール数: 1,000,000+
- 影響を受けるバージョン: SVG Support <= 2.5.10
- 修正済みバージョン: SVG Support 2.5.11
- Unlimited Elements For Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-13155
- インストール数: 300,000+
- 影響を受けるバージョン: Unlimited Elements For Elementor <= 1.5.140
- 修正済みバージョン: Unlimited Elements For Elementor 1.5.141
- Essential Blocks
- 深刻度: 中
- 脆弱性: Broken Access Control
- CVE: CVE-2025-26871
- インストール数: 100,000+
- 影響を受けるバージョン: Essential Blocks <= 4.8.3
- 修正済みバージョン: Essential Blocks 4.8.4
- Strong Testimonials
- 深刻度: 中
- 脆弱性: Broken Access Control
- CVE: CVE-2025-26975
- インストール数: 100,000+
- 影響を受けるバージョン: Strong Testimonials <= 3.2.3
- 修正済みバージョン: Strong Testimonials 3.2.4
- Event Tickets and Registration
- 深刻度: 中
- 脆弱性: Broken Access Control
- CVE: CVE-2025-1402
- インストール数: 90,000+
- 影響を受けるバージョン: Event Tickets and Registration <= 5.19.1.1
- 修正済みバージョン: Event Tickets and Registration 5.19.1.2
- Ajax Search Lite
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-13585
- インストール数: 80,000+
- 影響を受けるバージョン: Ajax Search Lite <= 4.12.4
- 修正済みバージョン: Ajax Search Lite 4.12.5
- Booking for Appointments and Events Calendar
- 深刻度: 中
- 脆弱性: Insecure Direct Object References (IDOR)
- CVE: CVE-2025-26965
- インストール数: 80,000+
- 影響を受けるバージョン: Booking for Appointments and Events Calendar <= 1.2.16
- 修正済みバージョン: Booking for Appointments and Events Calendar 1.2.17
- Master Slider
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-12173
- インストール数: 80,000+
- 影響を受けるバージョン: Master Slider <= 3.10.4
- 修正済みバージョン: Master Slider 3.10.5
- Embed Any Document
- 深刻度: 中
- 脆弱性: Server Side Request Forgery (SSRF)
- CVE: CVE-2025-1043
- インストール数: 60,000+
- 影響を受けるバージョン: Embed Any Document <= 2.7.5
- 修正済みバージョン: Embed Any Document 2.7.6
- WP Carousel
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4002
- インストール数: 60,000+
- 影響を受けるバージョン: WP Carousel <= 2.6.8
- 修正済みバージョン: WP Carousel 2.6.9
- Login/Signup Popup
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-1064
- インストール数: 50,000+
- 影響を受けるバージョン: Login/Signup Popup <= 2.8.5
- 修正済みバージョン: Login/Signup Popup 2.8.6
- Import any XML, CSV or Excel File to WordPress
- 深刻度: 低
- 脆弱性: PHP Object Injection
- CVE: CVE-2024-9664
- インストール数: 100,000+
- 影響を受けるバージョン: Import any XML, CSV or Excel File to WordPress <= 3.7.9
- 修正済みバージョン: Import any XML, CSV or Excel File to WordPress 3.8.0
- Forminator Forms
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-7052
- インストール数: 500,000+
- 影響を受けるバージョン: Forminator Forms <= 1.38.2
- 修正済みバージョン: Forminator Forms 1.38.3
- ProfilePress
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-13119
- インストール数: 200,000+
- 影響を受けるバージョン: ProfilePress <= 4.15.19
- 修正済みバージョン: ProfilePress 4.15.20
- Everest Forms
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-13125
- インストール数: 100,000+
- 影響を受けるバージョン: Everest Forms <= 3.0.8
- 修正済みバージョン: Everest Forms 3.0.8.1
- Spotlight Social Feeds
- 深刻度: 低
- 脆弱性: Sensitive Data Exposure
- CVE: CVE-2025-26758
- インストール数: 60,000+
- 影響を受けるバージョン: Spotlight Social Feeds <= 1.7.1
- 修正済みバージョン: Spotlight Social Feeds 1.7.2
- WPvivid Backup & Migration
- 深刻度: 低
- 脆弱性: Arbitrary File Upload
- CVE: CVE-2024-13869
- インストール数: 600,000+
- 影響を受けるバージョン: WPvivid Backup & Migration <= 0.9.112
- 修正済みバージョン: WPvivid Backup & Migration 0.9.113
- Head, Footer and Post Injections
- 深刻度: 低
- 脆弱性: Remote Code Execution (RCE)
- CVE: CVE-2024-13900
- インストール数: 300,000+
- 影響を受けるバージョン: Head, Footer and Post Injections <= 3.3.0
- 修正済みバージョン: Head, Footer and Post Injections 3.3.1
- FileBird
- 深刻度: 低
- 脆弱性: Insecure Direct Object References (IDOR)
- CVE: CVE-2025-26977
- インストール数: 200,000+
- 影響を受けるバージョン: FileBird <= 6.4.5
- 修正済みバージョン: FileBird 6.4.6
- WP ULike
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-12770
- インストール数: 80,000+
- 影響を受けるバージョン: WP ULike <= 4.7.5
- 修正済みバージョン: WP ULike 4.7.6
- Simple Image Sizes
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-24810
- インストール数: 70,000+
- 影響を受けるバージョン: Simple Image Sizes <= 3.2.2
- 修正済みバージョン: Simple Image Sizes 3.2.3
- WP Carousel
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-13314
- インストール数: 60,000+
- 影響を受けるバージョン: WP Carousel <= 2.7.3
- 修正済みバージョン: WP Carousel 2.7.4
- Form Maker by 10Web
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-13605
- インストール数: 50,000+
- 影響を受けるバージョン: Form Maker by 10Web <= 1.15.32
- 修正済みバージョン: Form Maker by 10Web 1.15.33
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!