基礎知識 2025.07.02 2025.07.03
【2025年6月】WordPress脆弱性情報&注目ニュース まとめ|FAIRプロジェクト始動!脱・中央集権を目指す など
FAIRプロジェクト始動!脱・中央集権を目指す
2025年6月、スイス・バーゼルにてWordCamp Europe 2025と並行して行われたサイドイベント「AltCtrlOrg」で発表された「FAIR Package Manager Project」が大きな注目を集めています。
「FAIR(Federated and Independent Repositories)」は、WordPressのプラグインやテーマ、翻訳などの配布を中央集権(WordPress.org)に依存せず、分散型で行うための仕組みです。
FAIR は WordPress に導入できるプラグインとして提供され、「FAIR Package Manager」として機能します。インストールすると、更新元が WordPress.org ではなく、各ホスティング企業やミラー運営者の独立リポジトリに切り替えられ、アバター処理も Gravatar からローカル運用に変更可能です。
この動きは、WordPress.orgを実質的に統括してきたAutomattic社やその創業者マット・マレンウェッグ氏に対するコミュニティの不信感に端を発します。
特に、WP Engine社との争いの中で一方的に実施された、 WP Engine およびその顧客からのアクセス遮断(管理画面からの更新が不可に)、WP Engineの代表的プラグイン「ACF(Advanced Custom Fields)」の無断フォーク・名称変更は大きな波紋を呼びました。
このような一連の事件から、「特定の個人・組織の支配下にある中央集権的な配布基盤には脆弱性がある」「コミュニティ主導で透明性ある仕組みが必要」という強い意識が拡大し、分散型のプラグイン配布インフラとしてFAIRの構想が具体化されていきました。
ただ、このような取り組みはAutomattic社やマット氏にとっては面白くないものであると思われるため、今後の動きに注目していく必要があります。
【2025年7月〜】WordPress バージョン 4.1〜4.6のセキュリティアップデート提供終了
WordPress セキュリティチームは、2025年7月からWordPressバージョン 4.1〜4.6 に対するセキュリティアップデートの提供を終了すると発表しました。
これらのバージョンはリリースから9年以上が経過しており、全体の99%以上の WordPress サイトはすでにより新しいバージョンを利用しているため、影響は非常に限定的とされています。
対象バージョン使用者の管理画面には、更新を促す通知が表示されるとのこと。
もし、自分が運営するサイトが対象に該当する場合は、速やかなアップデートを推奨します。
なお、アップデートの際は必ずファイルとデータベースのバックアップを取得しましょう。
特に古いバージョンからアップデートする場合は、プラグインやPHPバージョンとの互換性に問題が発生し、不具合が起こることもあります。
アップデートの方法については、以下の記事で詳しく解説していますので参考にしてください。
WordPressのアップデート方法を図解!不具合への対処法も紹介
2025年6月度のWordPress脆弱性情報
ここからは2025年6月度に発見された脆弱性をご紹介します。
今月はWordPressや主要なテーマ・プラグインに関連する脆弱性が50個、テーマに関する脆弱性が2件発見されました。
自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストール、代替プラグインへの差し替えなどの対策を行いましょう。
各テーマ・プラグインの正式な対応方法等については、それぞれの公式ページ等でご確認ください。
自社で対応が難しい場合には、WordPressのプロへの依頼も検討しましょう。
- File Manager Pro – Filester
- 深刻度: 緊急
- 脆弱性: 任意のファイルアップロード
- CVE: 2025-3234
- インストール数: 100,000+
- 影響を受けるバージョン: File Manager Pro – Filester <= 1.8.8
- 修正済みバージョン: File Manager Pro – Filester 1.8.9
- Widget Logic
- 深刻度: 緊急
- 脆弱性: リモートコード実行 (RCE)
- CVE: 2025-32222
- インストール数: 100,000+
- 影響を受けるバージョン: Widget Logic (No fix available)
- 修正済みバージョン: No Fix
- Ninja Tables
- 深刻度: 緊急
- 脆弱性: PHPオブジェクトインジェクション
- CVE: 2025-2939
- インストール数: 80,000+
- 影響を受けるバージョン: Ninja Tables <= 5.0.18
- 修正済みバージョン: Ninja Tables 5.0.19
- WP-Optimize
- 深刻度: 高
- 脆弱性: SQLインジェクション
- CVE: 2025-3951
- インストール数: 1,000,000+
- 影響を受けるバージョン: WP-Optimize <= 4.1.9
- 修正済みバージョン: WP-Optimize 4.2.0
- Social Sharing Plugin – Sassy Social Share
- 深刻度: 高
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-5528
- インストール数: 100,000+
- 影響を受けるバージョン: Sassy Social Share <= 3.3.75
- 修正済みバージョン: Sassy Social Share 3.3.76
- AI Engine
- 深刻度: 高
- 脆弱性: アクセス制御の不備
- CVE: 2025-5071
- インストール数: 100,000+
- 影響を受けるバージョン: AI Engine <= 2.8.3
- 修正済みバージョン: AI Engine 2.8.4
- HUSKY
- 深刻度: 高
- 脆弱性: ローカルファイルインクルージョン
- CVE: 2025-52708
- インストール数: 100,000+
- 影響を受けるバージョン: HUSKY <= 1.3.7
- 修正済みバージョン: HUSKY 1.3.7.1
- Drag and Drop Multiple File Upload for Contact Form 7
- 深刻度: 高
- 脆弱性: 任意のファイルアップロード
- CVE: 2025-3515
- インストール数: 60,000+
- 影響を受けるバージョン: Drag and Drop Multiple File Upload for Contact Form 7 <= 1.3.8.9
- 修正済みバージョン: Drag and Drop Multiple File Upload for Contact Form 7 1.3.9.0
- Ultra Addons for Contact Form 7
- 深刻度: 高
- 脆弱性: 任意のファイルアップロード
- CVE: 2025-6220
- インストール数: 60,000+
- 影響を受けるバージョン: Ultra Addons for Contact Form 7 <= 3.5.12
- 修正済みバージョン: Ultra Addons for Contact Form 7 3.5.13
- Sina Extension for Elementor
- 深刻度: 高
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-49262
- インストール数: 50,000+
- 影響を受けるバージョン: Sina Extension for Elementor <= 3.6.9
- 修正済みバージョン: Sina Extension for Elementor 3.7.0
- Slim SEO
- 深刻度: 高
- 脆弱性: SQLインジェクション
- CVE: 2025-49854
- インストール数: 50,000+
- 影響を受けるバージョン: Slim SEO <= 4.5.4
- 修正済みバージョン: Slim SEO 4.5.5
- Blog2Social: Social Media Auto Post & Scheduler
- 深刻度: 高
- 脆弱性: SQLインジェクション
- CVE: 2025-5673
- インストール数: 50,000+
- 影響を受けるバージョン: Blog2Social <= 8.4.4
- 修正済みバージョン: Blog2Social 8.4.5
- Elementor Website Builder
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2024-50555
- インストール数: 10,000,000+
- 影響を受けるバージョン: Elementor Website Builder <= 3.29.0
- 修正済みバージョン: Elementor Website Builder 3.29.1
- Essential Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2024-9994
- インストール数: 2,000,000+
- 影響を受けるバージョン: Essential Addons for Elementor <= 6.1.12
- 修正済みバージョン: Essential Addons for Elementor 6.1.13
- ElementsKit Elementor Addons and Templates
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-4479
- インストール数: 1,000,000+
- 影響を受けるバージョン: ElementsKit Elementor Addons and Templates <= 3.5.2
- 修正済みバージョン: ElementsKit Elementor Addons and Templates 3.5.3
- Premium Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-4774
- インストール数: 700,000+
- 影響を受けるバージョン: Premium Addons for Elementor <= 4.11.8
- 修正済みバージョン: Premium Addons for Elementor 4.11.9
- The Events Calendar
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-5144
- インストール数: 700,000+
- 影響を受けるバージョン: The Events Calendar <= 6.13.2
- 修正済みバージョン: The Events Calendar 6.13.2.1
- Popup Maker
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-4205
- インストール数: 700,000+
- 影響を受けるバージョン: Popup Maker <= 1.20.4
- 修正済みバージョン: Popup Maker 1.20.5
- Click to Chat – HoliThemes
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-5336
- インストール数: 600,000+
- 影響を受けるバージョン: Click to Chat – HoliThemes <= 4.22
- 修正済みバージョン: Click to Chat – HoliThemes 4.23
- Slider, Gallery, and Carousel by MetaSlider – Image Slider, Video Slider
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-5337
- インストール数: 600,000+
- 影響を受けるバージョン: MetaSlider <= 3.98.9
- 修正済みバージョン: MetaSlider 3.99.0
- YITH WooCommerce Wishlist
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-5238
- インストール数: 600,000+
- 影響を受けるバージョン: YITH WooCommerce Wishlist <= 4.5.9
- 修正済みバージョン: YITH WooCommerce Wishlist 4.6.0
- Forminator Forms
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-5341
- インストール数: 600,000+
- 影響を受けるバージョン: Forminator Forms <= 1.44.1
- 修正済みバージョン: Forminator Forms 1.44.2
- Broken Link Checker
- 深刻度: 中
- 脆弱性: 機密データの漏洩
- CVE: 2025-4047
- インストール数: 600,000+
- 影響を受けるバージョン: Broken Link Checker <= 2.4.4
- 修正済みバージョン: Broken Link Checker 2.4.5
- Ocean Extra
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-49068
- インストール数: 600,000+
- 影響を受けるバージョン: Ocean Extra <= 2.4.8
- 修正済みバージョン: Ocean Extra 2.4.9
- WP Shortcodes Plugin — Shortcodes Ultimate
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-49244
- インストール数: 500,000+
- 影響を受けるバージョン: Shortcodes Ultimate <= 7.3.9
- 修正済みバージョン: Shortcodes Ultimate 7.4.0
- Breeze
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: 2025-23999
- インストール数: 400,000+
- 影響を受けるバージョン: Breeze <= 2.2.13
- 修正済みバージョン: Breeze 2.2.14
- Simple History
- 深刻度: 中
- 脆弱性: 機密データの漏洩
- CVE: 2025-5760
- インストール数: 300,000+
- 影響を受けるバージョン: Simple History <= 5.8.1
- 修正済みバージョン: Simple History 5.8.2
- Smash Balloon Social Post Feed – Simple Social Feeds for WordPress
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-4577
- インストール数: 200,000+
- 影響を受けるバージョン: Smash Balloon Social Post Feed <= 4.3.1
- 修正済みバージョン: Smash Balloon Social Post Feed 4.3.2
- Firelight Lightbox
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-52707
- インストール数: 200,000+
- 影響を受けるバージョン: Firelight Lightbox <= 2.3.16
- 修正済みバージョン: Firelight Lightbox 2.3.17
- Real Cookie Banner: GDPR & ePrivacy Cookie Consent
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-1485
- インストール数: 100,000+
- 影響を受けるバージョン: Real Cookie Banner <= 5.1.5
- 修正済みバージョン: Real Cookie Banner 5.1.6
- The Plus Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-49076
- インストール数: 100,000+
- 影響を受けるバージョン: The Plus Addons for Elementor <= 6.2.7
- 修正済みバージョン: The Plus Addons for Elementor 6.2.8
- Ivory Search
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-5209
- インストール数: 100,000+
- 影響を受けるバージョン: Ivory Search <= 5.5.9
- 修正済みバージョン: Ivory Search 5.5.10
- Download Manager
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-4367
- インストール数: 100,000+
- 影響を受けるバージョン: Download Manager <= 3.3.18
- 修正済みバージョン: Download Manager 3.3.19
- File Manager Pro – Filester
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-52710
- インストール数: 100,000+
- 影響を受けるバージョン: File Manager Pro – Filester <= 1.8.8
- 修正済みバージョン: File Manager Pro – Filester 1.8.9
- GiveWP
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: 2025-4571
- インストール数: 100,000+
- 影響を受けるバージョン: GiveWP <= 4.3.0
- 修正済みバージョン: GiveWP 4.3.1
- Master Slider
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-5291
- インストール数: 70,000+
- 影響を受けるバージョン: Master Slider <= 3.10.8
- 修正済みバージョン: Master Slider 3.10.9
- WP Table Builder – WordPress Table Plugin
- 深刻度: 中
- 脆弱性: クロスサイトリクエストフォージェリ (CSRF)
- CVE: 2025-49286
- インストール数: 60,000+
- 影響を受けるバージョン: WP Table Builder <= 2.0.6
- 修正済みバージョン: WP Table Builder 2.0.7
- WPtouch
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-49318
- インストール数: 60,000+
- 影響を受けるバージョン: WPtouch <= 4.3.60
- 修正済みバージョン: WPtouch 4.3.61
- Post and Page Builder by BoldGrid
- 深刻度: 中
- 脆弱性: サーバーサイドリクエストフォージェリ (SSRF)
- CVE: 2025-52713
- インストール数: 60,000+
- 影響を受けるバージョン: Post and Page Builder by BoldGrid <= 1.27.8
- 修正済みバージョン: Post and Page Builder by BoldGrid 1.27.9
- Post and Page Builder by BoldGrid
- 深刻度: 中
- 脆弱性: クロスサイトリクエストフォージェリ (CSRF)
- CVE: 2025-52711
- インストール数: 60,000+
- 影響を受けるバージョン: Post and Page Builder by BoldGrid <= 1.27.8
- 修正済みバージョン: Post and Page Builder by BoldGrid 1.27.9
- Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-4667
- インストール数: 60,000+
- 影響を受けるバージョン: Simply Schedule Appointments <= 1.6.8.31
- 修正済みバージョン: Simply Schedule Appointments 1.6.8.32
- WP-Members Membership Plugin
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-50051
- インストール数: 60,000+
- 影響を受けるバージョン: WP-Members Membership Plugin <= 3.5.4
- 修正済みバージョン: WP-Members Membership Plugin 3.5.4.1
- Calculated Fields Form
- 深刻度: 中
- 脆弱性: クロスサイトリクエストフォージェリ (CSRF)
- CVE: 2025-49291
- インストール数: 50,000+
- 影響を受けるバージョン: Calculated Fields Form <= 5.3.58
- 修正済みバージョン: Calculated Fields Form 5.3.59
- Greenshift
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-49301
- インストール数: 50,000+
- 影響を受けるバージョン: Greenshift <= 11.5.6
- 修正済みバージョン: Greenshift 11.5.7
- Uncanny Automator
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: 2025-48133
- インストール数: 50,000+
- 影響を受けるバージョン: Uncanny Automator (No fix available)
- 修正済みバージョン: No Fix
- User Profile Builder
- 深刻度: 中
- 脆弱性: コンテンツ偽造
- CVE: 2025-49292
- インストール数: 50,000+
- 影響を受けるバージョン: User Profile Builder <= 3.13.8
- 修正済みバージョン: User Profile Builder 3.13.9
- User Profile Builder
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-4671
- インストール数: 50,000+
- 影響を受けるバージョン: User Profile Builder <= 3.13.8
- 修正済みバージョン: User Profile Builder 3.13.9
- Zapier for WordPress
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: 2025-50010
- インストール数: 50,000+
- 影響を受けるバージョン: Zapier for WordPress (No fix available)
- 修正済みバージョン: No Fix
- Login & Register Customizer – Popup | Slider | Inline | WooCommerce
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-50027
- インストール数: 50,000+
- 影響を受けるバージョン: Login & Register Customizer <= 2.9.4
- 修正済みバージョン: Login & Register Customizer 2.9.5
- Pixel Manager for WooCommerce
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-6201
- インストール数: 50,000+
- 影響を受けるバージョン: Pixel Manager for WooCommerce <= 1.49.0
- 修正済みバージョン: Pixel Manager for WooCommerce 1.49.1
テーマに関する脆弱性
- Zita
- 深刻度: High
- 脆弱性: ローカルファイルインクルージョン
- CVE: 2025-52816
- インストール数: 405,453ダウンロード
- 影響を受けるバージョン: Zita Theme (No fix available)
- 修正済みバージョン: No Fix
- OceanWP
- 深刻度: Medium
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: 2025-5524
- インストール数: 8,544,159ダウンロード
- 影響を受けるバージョン: OceanWP Theme <= 4.0.9
- 修正済みバージョン: OceanWP Theme 4.1.0
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!