基礎知識 2025.09.10 2025.09.10
【2025年8月】WordPress脆弱性情報&注目ニュース まとめ|WP Engine対Automatticの反トラスト訴訟で請求棄却を審理 など
WordPressの最新シェア情報
2025年8月現在のWordPressの最新シェア状況は以下の通り(※W3Techs参照)です。
| CMS内のWordPressシェア | 60.8% |
|---|---|
| 全Webサイト中のWordPressシェア | 43.4% |
参照元:Usage statistics and market shares of content management systems|W3Techs
WP Engine対Automatticの反トラスト訴訟で請求棄却を審理
2025年8月29日、米国テキサス州の連邦地裁にて、WP Engine社がAutomattic社を提訴している独占禁止法(反トラスト)訴訟で、Automattic側が提出した「訴え棄却」の申し立てが審理されました。
この訴訟は、AutomatticがWordPress.orgの支配的な立場を利用して競合を不当に排除したのではないか、という点が争点です。背景には、WP Engineの顧客がWordPress.org経由の更新を利用できなくなった件や、同社の代表的プラグイン「ACF(Advanced Custom Fields)」が無断でフォーク・名称変更された件があります。
現時点では棄却の可否は決定していませんが、判決次第ではWordPressコミュニティ全体のエコシステムやガバナンスに大きな影響を及ぼす可能性があるため、今後も注目していく必要があります。
Gutenberg 21.5 (ブロックエディタ) リリース
「Gutenberg 21.5」が公開されました。今回のアップデートで注目されるのは、新たに追加された「アコーディオンブロック」です。FAQページや長文記事の整理に最適で、ユーザー体験を向上させます。
さらに、管理画面には「コマンドパレット」が導入され、検索感覚で機能や設定にアクセスできるようになりました。その他にも、ボーダーの角丸設定をプリセット化できる機能など、デザインの一貫性を高める改善も行われています。
これにより、コードを書かなくても高度なデザイン調整が可能になり、実務に直結する利便性が向上しました。サイト運営者にとっても日々の編集効率を大きく高めるリリースとなっています。
「AI Building Blocks」公開:WordPressでのAI実装を加速
WordPress公式AIチームは「AI Building Blocks for WordPress」を公開しました【make.wordpress.org】。
これは、WordPressにAI機能を組み込みやすくするための技術基盤を整理したものです。
主な構成要素は以下の通りです。
- PHP AI Client SDK:AIサービスを呼び出すための統一的なクライアントライブラリ。(AIを呼び出す「共通の窓口」)
- Abilities API:AIが実行できる「能力」を明示的に管理・拡張する仕組み。(AIの「できること」を整理・管理)
- MCP Adapter:外部のAIツールやサービスと接続するためのアダプター。(外部ツールとつなぐ「変換アダプター」)
- AI Experiments Plugin:新機能を迅速に試すための実験用プラグイン。(新機能を「試すための実験場」)
これらを活用することで、開発者は外部の大規模言語モデルやAIサービスをスムーズにWordPressへ統合でき、運用者は今後リリースされるAI搭載プラグインを安心して利用しやすくなります。WordPressにおけるAI活用の「標準的な入口」として位置付けられており、今後の広がりに期待が集まっています。
2025年8月度のWordPress脆弱性情報
ここからは2025年8月度に発見された脆弱性をご紹介します。
今月はWordPressや主要なテーマ・プラグインに関連する脆弱性が36個、テーマに関する脆弱性が6件発見されました。
自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストール、代替プラグインへの差し替えなどの対策を行いましょう。
各テーマ・プラグインの正式な対応方法等については、それぞれの公式ページ等でご確認ください。
自社で対応が難しい場合には、WordPressのプロへの依頼も検討しましょう。
プラグインに関する脆弱性
- Elementor Website Builder – More Than Just a Page Builder
- 深刻度: 中
- 脆弱性: パストラバーサル
- CVE: CVE-2025-8081
- インストール数: 10,000,000+
- 影響を受けるバージョン: Elementor Website Builder – More Than Just a Page Builder <= 3.30.2
- 修正済みバージョン: Elementor Website Builder – More Than Just a Page Builder 3.30.3
- Advanced Custom Fields (ACF®)
- 深刻度: 低
- 脆弱性: リモートコード実行 (RCE)
- インストール数: 2,000,000+
- 影響を受けるバージョン: Advanced Custom Fields (ACF®) <= 3.5.1
- 修正済みバージョン: Advanced Custom Fields (ACF®) 3.5.2
- Ultimate Addons for Elementor (Formerly Elementor Header & Footer Builder)
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2025-8488
- インストール数: 2,000,000+
- 影響を受けるバージョン: Ultimate Addons for Elementor (Formerly Elementor Header & Footer Builder) <= 2.4.6
- 修正済みバージョン: Ultimate Addons for Elementor (Formerly Elementor Header & Footer Builder) 2.4.7
- Essential Addons for Elementor – Popular Elementor Templates & Widgets
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-8451
- インストール数: 2,000,000+
- 影響を受けるバージョン: Essential Addons for Elementor – Popular Elementor Templates & Widgets <= 6.2.2
- 修正済みバージョン: Essential Addons for Elementor – Popular Elementor Templates & Widgets 6.2.3
- WP Statistics – The Most Popular Privacy-Friendly Analytics Plugin
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2025-55716
- インストール数: 600,000+
- 影響を受けるバージョン: WP Statistics – The Most Popular Privacy-Friendly Analytics Plugin <= 14.15.1
- 修正済みバージョン: WP Statistics – The Most Popular Privacy-Friendly Analytics Plugin 14.15.2
- Templately – Elementor & Gutenberg Template Library: 5500+ Free & Pro Ready Templates And Cloud!
- 深刻度: 中
- 脆弱性: 機密データの漏洩
- CVE: CVE-2025-49408
- インストール数: 400,000+
- 影響を受けるバージョン: Templately – Elementor & Gutenberg Template Library: 5500+ Free & Pro Ready Templates And Cloud! <= 3.2.7
- 修正済みバージョン: Templately – Elementor & Gutenberg Template Library: 5500+ Free & Pro Ready Templates And Cloud! 3.2.8
- WP Crontrol
- 深刻度: 中
- 脆弱性: サーバーサイドリクエストフォージェリ(SSRF)
- CVE: CVE-2025-8678
- インストール数: 300,000+
- 影響を受けるバージョン: WP Crontrol <= 1.19.1
- 修正済みバージョン: WP Crontrol 1.19.2
- Redirection for Contact Form 7
- 深刻度: 高
- 脆弱性: 任意のファイル削除
- CVE: CVE-2025-8141
- インストール数: 300,000+
- 影響を受けるバージョン: Redirection for Contact Form 7 <= 3.2.4
- 修正済みバージョン: Redirection for Contact Form 7 3.2.5
- Redirection for Contact Form 7
- 深刻度: 高
- 脆弱性: PHPオブジェクトインジェクション
- CVE: CVE-2025-8289
- インストール数: 300,000+
- 影響を受けるバージョン: Redirection for Contact Form 7 <= 3.2.4
- 修正済みバージョン: Redirection for Contact Form 7 3.2.5
- Redirection for Contact Form 7
- 深刻度: 高
- 脆弱性: PHPオブジェクトインジェクション
- CVE: CVE-2025-8145
- インストール数: 300,000+
- 影響を受けるバージョン: Redirection for Contact Form 7 <= 3.2.4
- 修正済みバージョン: Redirection for Contact Form 7 3.2.5
- Qi Addons For Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-8146
- インストール数: 200,000+
- 影響を受けるバージョン: Qi Addons For Elementor <= 1.9.2
- 修正済みバージョン: Qi Addons For Elementor 1.9.3
- FileBird – WordPress Media Library Folders & File Manager
- 深刻度: 高
- 脆弱性: SQLインジェクション
- CVE: CVE-2025-6986
- インストール数: 200,000+
- 影響を受けるバージョン: FileBird – WordPress Media Library Folders & File Manager <= 6.4.8
- 修正済みバージョン: FileBird – WordPress Media Library Folders & File Manager 6.4.9
- Advanced File Manager – Ultimate WP File Manager And Document Library Solution
- 深刻度: 中
- 脆弱性: 任意のファイル削除
- CVE: CVE-2025-0818
- インストール数: 200,000+
- 影響を受けるバージョン: Advanced File Manager – Ultimate WP File Manager And Document Library Solution <= 5.3.9
- 修正済みバージョン: Advanced File Manager – Ultimate WP File Manager And Document Library Solution 5.4.0
- Kadence WooCommerce Email Designer
- 深刻度: 高
- 脆弱性: 権限昇格
- CVE: CVE-2025-54697
- インストール数: 100,000+
- 影響を受けるバージョン: Kadence WooCommerce Email Designer <= 1.5.16
- 修正済みバージョン: Kadence WooCommerce Email Designer 1.5.17
- The Plus Addons for Elementor – Elementor Addons, Page Templates, Widgets, Mega Menu, WooCommerce
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2025-55712
- インストール数: 100,000+
- 影響を受けるバージョン: The Plus Addons for Elementor – Elementor Addons, Page Templates, Widgets, Mega Menu, WooCommerce <= 6.3.13
- 修正済みバージョン: The Plus Addons for Elementor – Elementor Addons, Page Templates, Widgets, Mega Menu, WooCommerce 6.3.14
- Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress
- 深刻度: 中
- 脆弱性: コンテンツインジェクション
- CVE: CVE-2025-8878
- インストール数: 100,000+
- 影響を受けるバージョン: Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress <= 4.16.4
- 修正済みバージョン: Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress 4.16.5
- Element Pack Addons for Elementor – Mega Menu, Header Footer, Dynamic Builder and Ready Templates
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-8100
- インストール数: 100,000+
- 影響を受けるバージョン: Element Pack Addons for Elementor – Mega Menu, Header Footer, Dynamic Builder and Ready Templates <= 8.1.5
- 修正済みバージョン: Element Pack Addons for Elementor – Mega Menu, Header Footer, Dynamic Builder and Ready Templates 8.1.6
- Simple Local Avatars
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2025-8482
- インストール数: 100,000+
- 影響を受けるバージョン: Simple Local Avatars <= 2.8.4
- 修正済みバージョン: Simple Local Avatars 2.8.5
- GiveWP – Donation Plugin and Fundraising Platform
- 深刻度: 高
- 脆弱性: 機密データの漏洩
- CVE: CVE-2025-47444
- インストール数: 100,000+
- 影響を受けるバージョン: GiveWP – Donation Plugin and Fundraising Platform <= 4.6.0
- 修正済みバージョン: GiveWP – Donation Plugin and Fundraising Platform 4.6.1
- GiveWP – Donation Plugin and Fundraising Platform
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2025-7221
- インストール数: 100,000+
- 影響を受けるバージョン: GiveWP – Donation Plugin and Fundraising Platform <= 4.6.0
- 修正済みバージョン: GiveWP – Donation Plugin and Fundraising Platform 4.6.1
- WPC Smart Quick View for WooCommerce
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-8618
- インストール数: 100,000+
- 影響を受けるバージョン: WPC Smart Quick View for WooCommerce <= 4.2.1
- 修正済みバージョン: WPC Smart Quick View for WooCommerce 4.2.2
- Ocean Social Sharing
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-7500
- インストール数: 80,000+
- 影響を受けるバージョン: Ocean Social Sharing <= 2.2.1
- 修正済みバージョン: Ocean Social Sharing 2.2.2
- LatePoint – Calendar Booking Plugin for Appointments and Events
- 深刻度: 高
- 脆弱性: ローカルファイルインクルージョン
- CVE: CVE-2025-6715
- インストール数: 80,000+
- 影響を受けるバージョン: LatePoint – Calendar Booking Plugin for Appointments and Events <= 5.1.93
- 修正済みバージョン: LatePoint – Calendar Booking Plugin for Appointments and Events 5.1.94
- Media Library Assistant
- 深刻度: 中
- 脆弱性: 任意のファイル削除
- CVE: CVE-2025-8357
- インストール数: 70,000+
- 影響を受けるバージョン: Media Library Assistant <= 3.27
- 修正済みバージョン: Media Library Assistant 3.28
- WPC Smart Compare for WooCommerce
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-7496
- インストール数: 70,000+
- 影響を受けるバージョン: WPC Smart Compare for WooCommerce <= 6.4.7
- 修正済みバージョン: WPC Smart Compare for WooCommerce 6.4.8
- Drag and Drop Multiple File Upload for Contact Form 7
- 深刻度: 中
- 脆弱性: ディレクトリトラバーサル
- CVE: CVE-2025-8464
- インストール数: 60,000+
- 影響を受けるバージョン: Drag and Drop Multiple File Upload for Contact Form 7 <= 1.3.9
- 修正済みバージョン: Drag and Drop Multiple File Upload for Contact Form 7 1.3.9.1
- WP Table Builder – WordPress Table Plugin
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-55711
- インストール数: 60,000+
- 影響を受けるバージョン: WP Table Builder – WordPress Table Plugin <= 2.0.12
- 修正済みバージョン: WP Table Builder – WordPress Table Plugin 2.0.13
- Exclusive Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-7498
- インストール数: 60,000+
- 影響を受けるバージョン: Exclusive Addons for Elementor <= 2.7.9.4
- 修正済みバージョン: Exclusive Addons for Elementor 2.7.9.5
- WP Import Export Lite
- 深刻度: 緊急
- 脆弱性: 任意のファイルアップロード
- CVE: CVE-2025-5061
- インストール数: 50,000+
- 影響を受けるバージョン: WP Import Export Lite <= 3.9.29
- 修正済みバージョン: WP Import Export Lite 3.9.30
- WP Import Export Lite
- 深刻度: 緊急
- 脆弱性: 任意のファイルアップロード
- CVE: CVE-2025-6207
- インストール数: 50,000+
- 影響を受けるバージョン: WP Import Export Lite <= 3.9.28
- 修正済みバージョン: WP Import Export Lite 3.9.29
- Advanced iFrame
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-8089
- インストール数: 50,000+
- 影響を受けるバージョン: Advanced iFrame <= 2025.6
- 修正済みバージョン: Advanced iFrame 2025.7
- User Profile Builder – Beautiful User Registration Forms, User Profiles & User Role Editor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-8896
- インストール数: 50,000+
- 影響を受けるバージョン: User Profile Builder – Beautiful User Registration Forms, User Profiles & User Role Editor <= 3.14.3
- 修正済みバージョン: User Profile Builder – Beautiful User Registration Forms, User Profiles & User Role Editor 3.14.4
- Tag, Category, and Taxonomy Manager – AI Autotagger with OpenAI
- 深刻度: 中
- 脆弱性: 機密データの漏洩
- CVE: CVE-2025-55710
- インストール数: 50,000+
- 影響を受けるバージョン: Tag, Category, and Taxonomy Manager – AI Autotagger with OpenAI <= 3.37.2
- 修正済みバージョン: Tag, Category, and Taxonomy Manager – AI Autotagger with OpenAI 3.37.3
- Structured Content (JSON-LD) #wpsc
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-3414
- インストール数: 50,000+
- 影響を受けるバージョン: Structured Content (JSON-LD) #wpsc <= 1.6.9
- 修正済みバージョン: Structured Content (JSON-LD) #wpsc 1.7.0
- Visual Composer Website Builder
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-55709
- インストール数: 50,000+
- 影響を受けるバージョン: Visual Composer Website Builder <= 45.14.0
- 修正済みバージョン: Visual Composer Website Builder 45.15.0
- Greenshift – animation and page builder blocks
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2025-57884
- インストール数: 50,000+
- 影響を受けるバージョン: Greenshift – animation and page builder blocks <= 12.1.1
- 修正済みバージョン: Greenshift – animation and page builder blocks 12.1.2
テーマに関する脆弱性
- ColorMag
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2025-9202
- ダウンロード数: 4,262,710
- 影響を受けるバージョン: ColorMag <= 4.0.19
- 修正済みバージョン: ColorMag 4.0.20
- Spacious
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2025-9331
- ダウンロード数: 2,634,166
- 影響を受けるバージョン: Spacious <= 1.9.11
- 修正済みバージョン: Spacious 1.9.12
- Zakra
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2025-8595
- ダウンロード数: 1,935,472
- 影響を受けるバージョン: Zakra <= 4.1.5
- 修正済みバージョン: Zakra 4.1.6
- Eximious Magazine
- 深刻度: 高
- 脆弱性: ローカルファイルインクルージョン
- CVE: CVE-2025-53248
- ダウンロード数: 89,583
- 影響を受けるバージョン: Eximious Magazine (all versions)
- 修正済みバージョン: No Fix
- modernize
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2025-53342
- ダウンロード数: 59,351
- 影響を受けるバージョン: modernize (all versions)
- 修正済みバージョン: No Fix
- modernize
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2025-53343
- ダウンロード数: 59,351
- 影響を受けるバージョン: modernize (all versions)
- 修正済みバージョン: No Fix
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!