【2025年9月】WordPress脆弱性情報＆注目ニュース まとめ｜WordPress更新配信の分散化を目指す「FAIR 1.0」リリース など

WordPressの最新シェア情報

2025年9月現在のWordPressの最新シェア状況は以下の通り（※W3Techs参照）です。

参照元：Usage statistics and market shares of content management systems｜W3Techs

WordPress更新配信の分散化を目指す「FAIR 1.0」リリース

WordPressのコアアップデートやプラグイン配布を分散型に行うためのプロジェクト「FAIR」（Federated And Independent Repositories）のバージョン1.0が公開されました。

Linux Foundationの支援のもとで進められているこの取り組みにより、WordPressサイト運営者はWordPress.orgに依存せず独立したソースから更新パッケージをインストール可能になります。

FAIRプロジェクトの背景には、2024年9月にWordPress創設者が大手ホスティング企業WP Engineによる公式リポジトリの利用を一方的に遮断した騒動があり、コミュニティ内で中央集権的な仕組みに対する懸念が高まっていました。

FAIRはこうした問題に対応し、WordPressエコシステムのソフトウェア供給網の安全性と自主性を強化することを目指しています。

Discover, trust, install: FAIR 1.0 is here｜FAIR公式

WordPress 6.9の新機能紹介：サイト編集モード刷新とブロックコメント導入

WordPressコアチームは、2025年12月2日にリリース予定のWordPress 6.9に向けて主要機能の開発を進められています。

次期バージョンでは、サイト全体のテンプレート編集を簡易モードで行える新オプションや、共同編集を容易にするためのブロック単位でのコメント機能は特に注目。

また、開発者向けにはAbilities API（アクセス権限管理の新API）の導入やインタラクティビティAPIの拡張、ユーザー体験面ではページ遷移の高速化などパフォーマンス改善も含まれます。

なお、近年のブロックテーマ成熟を踏まえ、WordPress 6.9では新たなデフォルトテーマの追加は見送られる予定とのことです。

今回、紹介したものの他にも様々な機能の実装が予定されています。その他の機能については、公式ブログをご確認ください。

「All in One SEO」に脆弱性。修正パッチが未公開のため注意

300万以上のサイトにインストールされている人気SEOプラグイン「All in One SEO」において、2025年9月に機密情報の流出やアクセス制御不備につながる複数の脆弱性が報告されました。

それぞれの脆弱性の深刻度は高くないものの、本記事執筆時点で修正パッチが提供されていないため注意が必要です。

サイト全体に関わるSEOプラグインということもあり、急な変更・利用停止も難しいと思われますので、セキュリティ対策を強化しつつ、修正パッチ公開を待って速やかにアップデートすることを推奨します。

2025年9月度のWordPress脆弱性情報

ここからは2025年9月度に発見された脆弱性をご紹介します。
今月はWordPress本体（コア）・テーマ・プラグインに関連する主要な脆弱性をピックアップしてご紹介します。

自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストール、代替プラグインへの差し替えなどの対策を行いましょう。

各テーマ・プラグインの正式な対応方法等については、それぞれの公式ページ等でご確認ください。

自社で対応が難しい場合には、WordPressのプロへの依頼も検討しましょう。

WordPressコア（本体）に関する脆弱性

• WordPress Core
• 深刻度: 中
• 脆弱性: 機密データの漏洩
• CVE: CVE-2025-58246
• 影響を受けるバージョン: WordPress Core (No fix available)
• 修正済みバージョン: No fix available

• WordPress Core
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-58674
• 影響を受けるバージョン: WordPress Core (No fix available)
• 修正済みバージョン: No fix available

プラグインに関する脆弱性

• The Events Calendar
• 深刻度: 緊急
• 脆弱性: SQLインジェクション
• CVE: CVE-2025-9807
• インストール数: 700,000+
• 影響を受けるバージョン: The Events Calendar <= 6.15.1
• 修正済みバージョン: The Events Calendar 6.15.1.1

• Ninja Forms – The Contact Form Builder That Grows With You
• 深刻度: 緊急
• 脆弱性: PHPオブジェクトインジェクション
• CVE: CVE-2025-9083
• インストール数: 600,000+
• 影響を受けるバージョン: Ninja Forms – The Contact Form Builder That Grows With You <= 3.11.0
• 修正済みバージョン: Ninja Forms – The Contact Form Builder That Grows With You 3.11.1

• Tutor LMS – eLearning and online course solution
• 深刻度: 高
• 脆弱性: SQLインジェクション
• CVE: CVE-2025-58993
• インストール数: 100,000+
• 影響を受けるバージョン: Tutor LMS – eLearning and online course solution <= 3.7.9
• 修正済みバージョン: Tutor LMS – eLearning and online course solution 3.8.0

• Import any XML, CSV or Excel File to WordPress
• 深刻度: 高
• 脆弱性: 任意のファイルアップロード
• CVE: CVE-2025-10001
• インストール数: 100,000+
• 影響を受けるバージョン: Import any XML, CSV or Excel File to WordPress <= 3.9.3
• 修正済みバージョン: Import any XML, CSV or Excel File to WordPress 3.9.4

• Download Manager
• 深刻度: 高
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-10146
• インストール数: 100,000+
• 影響を受けるバージョン: Download Manager <= 3.3.23
• 修正済みバージョン: Download Manager 3.3.24

• Duplicate Page and Post
• 深刻度: 高
• 脆弱性: SQLインジェクション
• CVE: CVE-2025-6189
• インストール数: 90,000+
• 影響を受けるバージョン: Duplicate Page and Post (No fix available)
• 修正済みバージョン: No fix available

• User Registration & Membership – Custom Registration Form Builder, Custom Login Form, User Profile, Content Restriction & Membership Plugin
• 深刻度: 高
• 脆弱性: SQLインジェクション
• CVE: CVE-2025-9085
• インストール数: 60,000+
• 影響を受けるバージョン: User Registration & Membership – Custom Registration Form Builder, Custom Login Form, User Profile, Content Restriction & Membership Plugin <= 4.3.9
• 修正済みバージョン: User Registration & Membership – Custom Registration Form Builder, Custom Login Form, User Profile, Content Restriction & Membership Plugin 4.4.0

• Perfect Brands for WooCommerce
• 深刻度: 高
• 脆弱性: SQLインジェクション
• CVE: CVE-2025-58686
• インストール数: 50,000+
• 影響を受けるバージョン: Perfect Brands for WooCommerce (No fix available)
• 修正済みバージョン: No fix available

• All in One SEO – Powerful SEO Plugin to Boost SEO Rankings & Increase Traffic
• 深刻度: 中
• 脆弱性: 機密データの漏洩
• CVE: CVE-2025-58649
• インストール数: 3,000,000+
• 影響を受けるバージョン: All in One SEO – Powerful SEO Plugin to Boost SEO Rankings & Increase Traffic (No fix available)
• 修正済みバージョン: No fix available

• All in One SEO – Powerful SEO Plugin to Boost SEO Rankings & Increase Traffic
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2025-58650
• インストール数: 3,000,000+
• 影響を受けるバージョン: All in One SEO – Powerful SEO Plugin to Boost SEO Rankings & Increase Traffic (No fix available)
• 修正済みバージョン: No fix available

• The Events Calendar
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2025-9808
• インストール数: 700,000+
• 影響を受けるバージョン: The Events Calendar <= 6.15.2
• 修正済みバージョン: The Events Calendar 6.15.3

• Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder
• 深刻度: 中
• 脆弱性: PHPオブジェクトインジェクション
• CVE: CVE-2025-9260
• インストール数: 600,000+
• 影響を受けるバージョン: Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder <= 6.1.1
• 修正済みバージョン: Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder 6.1.2

• Admin Menu Editor
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-9493
• インストール数: 400,000+
• 影響を受けるバージョン: Admin Menu Editor <= 1.14.0
• 修正済みバージョン: Admin Menu Editor 1.14.1

• Post SMTP – WP SMTP Plugin with Email Logs and Mobile App for Failure Notifications – Gmail SMTP, Office 365, Brevo, Mailgun, Amazon SES and more
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2025-9219
• インストール数: 400,000+
• 影響を受けるバージョン: Post SMTP – WP SMTP Plugin with Email Logs and Mobile App for Failure Notifications – Gmail SMTP, Office 365, Brevo, Mailgun, Amazon SES and more <= 3.4.1
• 修正済みバージョン: Post SMTP – WP SMTP Plugin with Email Logs and Mobile App for Failure Notifications – Gmail SMTP, Office 365, Brevo, Mailgun, Amazon SES and more 3.4.2

• Sticky Header Effects for Elementor
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2025-58251
• インストール数: 300,000+
• 影響を受けるバージョン: Sticky Header Effects for Elementor (No fix available)
• 修正済みバージョン: No fix available

• Blocksy Companion
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-9565
• インストール数: 300,000+
• 影響を受けるバージョン: Blocksy Companion <= 2.1.10
• 修正済みバージョン: Blocksy Companion 2.1.11

• SureForms – Drag and Drop Contact Form Builder – Multi-step Forms, Conversational Forms and more
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2025-10489
• インストール数: 300,000+
• 影響を受けるバージョン: SureForms – Drag and Drop Contact Form Builder – Multi-step Forms, Conversational Forms and more <= 1.12.0
• 修正済みバージョン: SureForms – Drag and Drop Contact Form Builder – Multi-step Forms, Conversational Forms and more 1.12.1

• Admin and Site Enhancements (ASE)
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-9487
• インストール数: 200,000+
• 影響を受けるバージョン: Admin and Site Enhancements (ASE) <= 7.9.7
• 修正済みバージョン: Admin and Site Enhancements (ASE) 7.9.8

• Nextend Social Login and Register
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-58031
• インストール数: 200,000+
• 影響を受けるバージョン: Nextend Social Login and Register (No fix available)
• 修正済みバージョン: No fix available

• Orbit Fox: Duplicate Page, Menu Icons, SVG Support, Cookie Notice, Custom Fonts & More
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-58593
• インストール数: 200,000+
• 影響を受けるバージョン: Orbit Fox: Duplicate Page, Menu Icons, SVG Support, Cookie Notice, Custom Fonts & More <= 3.0.0
• 修正済みバージョン: Orbit Fox: Duplicate Page, Menu Icons, SVG Support, Cookie Notice, Custom Fonts & More 3.0.1

• TI WooCommerce Wishlist
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2025-58247
• インストール数: 100,000+
• 影響を受けるバージョン: TI WooCommerce Wishlist (No fix available)
• 修正済みバージョン: No fix available

• AI Engine
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2025-8268
• インストール数: 100,000+
• 影響を受けるバージョン: AI Engine <= 2.9.5
• 修正済みバージョン: AI Engine 2.9.6

• Content Views – Post Grid & Filter, Recent Posts, Category Posts … (Shortcode, Blocks, and Elementor Widgets)
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-8722
• インストール数: 100,000+
• 影響を受けるバージョン: Content Views – Post Grid & Filter, Recent Posts, Category Posts … (Shortcode, Blocks, and Elementor Widgets) <= 4.1.9
• 修正済みバージョン: Content Views – Post Grid & Filter, Recent Posts, Category Posts … (Shortcode, Blocks, and Elementor Widgets) 4.2

• NitroPack – Caching & Speed Optimization for Core Web Vitals, Defer CSS & JS, Lazy load Images and CDN
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2025-8778
• インストール数: 100,000+
• 影響を受けるバージョン: NitroPack – Caching & Speed Optimization for Core Web Vitals, Defer CSS & JS, Lazy load Images and CDN <= 1.18.4
• 修正済みバージョン: NitroPack – Caching & Speed Optimization for Core Web Vitals, Defer CSS & JS, Lazy load Images and CDN 1.18.5

• ShopLentor – WooCommerce Builder for Elementor & Gutenberg +21 Modules – All in One Solution (formerly WooLentor)
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-58990
• インストール数: 100,000+
• 影響を受けるバージョン: ShopLentor – WooCommerce Builder for Elementor & Gutenberg +21 Modules – All in One Solution (formerly WooLentor) <= 3.2.0
• 修正済みバージョン: ShopLentor – WooCommerce Builder for Elementor & Gutenberg +21 Modules – All in One Solution (formerly WooLentor) 3.2.1

• Colibri Page Builder
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-59593
• インストール数: 100,000+
• 影響を受けるバージョン: Colibri Page Builder <= 1.0.333
• 修正済みバージョン: Colibri Page Builder 1.0.334

• Kubio AI Page Builder
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2025-8487
• インストール数: 100,000+
• 影響を受けるバージョン: Kubio AI Page Builder <= 2.6.4
• 修正済みバージョン: Kubio AI Page Builder 2.6.5

• Make Column Clickable for Elementor
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-59592
• インストール数: 100,000+
• 影響を受けるバージョン: Make Column Clickable for Elementor <= 1.6.0
• 修正済みバージョン: Make Column Clickable for Elementor 1.6.1

• PowerPack Addons for Elementor (Free Widgets, Extensions and Templates)
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-8388
• インストール数: 90,000+
• 影響を受けるバージョン: PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) <= 2.9.4
• 修正済みバージョン: PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) 2.9.5

• 3D FlipBook – PDF Embedder, PDF Flipbook Viewer, Flipbook Image Gallery
• 深刻度: 中
• 脆弱性: 機密データの漏洩
• CVE: CVE-2025-58226
• インストール数: 80,000+
• 影響を受けるバージョン: 3D FlipBook – PDF Embedder, PDF Flipbook Viewer, Flipbook Image Gallery (No fix available)
• 修正済みバージョン: No fix available

• Jupiter X Core
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-58264
• インストール数: 80,000+
• 影響を受けるバージョン: Jupiter X Core (No fix available)
• 修正済みバージョン: No fix available

• Comments – wpDiscuz
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2025-59591
• インストール数: 80,000+
• 影響を受けるバージョン: Comments – wpDiscuz <= 7.6.33
• 修正済みバージョン: Comments – wpDiscuz 7.6.34

• Media Library Assistant
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-59590
• インストール数: 70,000+
• 影響を受けるバージョン: Media Library Assistant <= 3.28
• 修正済みバージョン: Media Library Assistant 3.29

• Master Slider – Responsive Touch Slider
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-58025
• インストール数: 70,000+
• 影響を受けるバージョン: Master Slider – Responsive Touch Slider (No fix available)
• 修正済みバージョン: No fix available

• Brizy – Page Builder
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2025-58594
• インストール数: 70,000+
• 影響を受けるバージョン: Brizy – Page Builder <= 2.7.12
• 修正済みバージョン: Brizy – Page Builder 2.7.13

• WP-Members Membership Plugin
• 深刻度: 中
• 脆弱性: コンテンツインジェクション
• CVE: CVE-2025-9489
• インストール数: 60,000+
• 影響を受けるバージョン: WP-Members Membership Plugin <= 3.5.4.2
• 修正済みバージョン: WP-Members Membership Plugin 3.5.4.3

• WP-Members Membership Plugin
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-57973
• インストール数: 60,000+
• 影響を受けるバージョン: WP-Members Membership Plugin <= 3.5.4.2
• 修正済みバージョン: WP-Members Membership Plugin 3.5.4.3

• Getwid – Gutenberg Blocks
• 深刻度: 中
• 脆弱性: 機密データの漏洩
• CVE: CVE-2025-58252
• インストール数: 50,000+
• 影響を受けるバージョン: Getwid – Gutenberg Blocks (No fix available)
• 修正済みバージョン: No fix available

• Image Hover Effects – Elementor Addon
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2025-57939
• インストール数: 50,000+
• 影響を受けるバージョン: Image Hover Effects – Elementor Addon (No fix available)
• 修正済みバージョン: No fix available

• Better Find and Replace – AI-Powered Suggestions
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2025-53466
• インストール数: 50,000+
• 影響を受けるバージョン: Better Find and Replace – AI-Powered Suggestions (No fix available)
• 修正済みバージョン: No fix available

テーマに関する脆弱性

• テーマ名：OceanWP
• 深刻度: Medium
• 脆弱性: Settings Change
• CVE: CVE-2025-8944
• インストール数: 8,786,658
• 影響を受けるバージョン: OceanWP <= 4.1.1
• 修正済みバージョン: OceanWP 4.1.2

• テーマ名：Sydney
• 深刻度: Medium
• 脆弱性: Broken Access Control
• CVE: CVE-2025-8999
• インストール数: 4,661,099
• 影響を受けるバージョン: Sydney <= 2.56
• 修正済みバージョン: Sydney 2.57

• テーマ名：ColorWay
• 深刻度: Medium
• 脆弱性: Sensitive Data Exposure
• CVE: CVE-2025-59003
• インストール数: 1,314,146
• 影響を受けるバージョン: ColorWay (No fix available)
• 修正済みバージョン: No fix available

• テーマ名：ConsultStreet
• 深刻度: Medium
• 脆弱性: Broken Access Control
• CVE: CVE-2025-58813
• インストール数: 581,213
• 影響を受けるバージョン: ConsultStreet (No fix available)
• 修正済みバージョン: No fix available

• テーマ名：Themia Lite
• 深刻度: Medium
• 脆弱性: Sensitive Data Exposure
• CVE: CVE-2025-59003
• インストール数: 194,918
• 影響を受けるバージョン: Themia Lite (No fix available)
• 修正済みバージョン: No fix available

• テーマ名：SoftMe
• 深刻度: Medium
• 脆弱性: Broken Access Control
• CVE: CVE-2025-58817
• インストール数: 155,328
• 影響を受けるバージョン: SoftMe (No fix available)
• 修正済みバージョン: No fix available

• テーマ名：Dzonia Lite
• 深刻度: Medium
• 脆弱性: Sensitive Data Exposure
• CVE: CVE-2025-59003
• インストール数: 114,483
• 影響を受けるバージョン: Dzonia Lite (No fix available)
• 修正済みバージョン: No fix available

• テーマ名：Cloriato Lite
• 深刻度: Medium
• 脆弱性: Sensitive Data Exposure
• CVE: CVE-2025-59003
• インストール数: 111,776
• 影響を受けるバージョン: Cloriato Lite (No fix available)
• 修正済みバージョン: No fix available

• テーマ名：Shk Corporate
• 深刻度: Medium
• 脆弱性: Broken Access Control
• CVE: CVE-2025-58824
• インストール数: 105,547
• 影響を受けるバージョン: Shk Corporate (No fix available)
• 修正済みバージョン: No fix available

• テーマ名：Road Fighter
• 深刻度: Medium
• 脆弱性: Sensitive Data Exposure
• CVE: CVE-2025-59003
• インストール数: 82,748
• 影響を受けるバージョン: Road Fighter (No fix available)
• 修正済みバージョン: No fix available

• テーマ名：Poloray
• 深刻度: Medium
• 脆弱性: Sensitive Data Exposure
• CVE: CVE-2025-59003
• インストール数: 71,063
• 影響を受けるバージョン: Poloray (No fix available)
• 修正済みバージョン: No fix available

• テーマ名：ButterBelly
• 深刻度: Medium
• 脆弱性: Sensitive Data Exposure
• CVE: CVE-2025-59003
• インストール数: 70,694
• 影響を受けるバージョン: ButterBelly (No fix available)
• 修正済みバージョン: No fix available

• テーマ名：SaasLauncher
• 深刻度: Medium
• 脆弱性: Broken Access Control
• CVE: CVE-2025-58606
• インストール数: 67,440
• 影響を受けるバージョン: SaasLauncher <= 1.3.0
• 修正済みバージョン: SaasLauncher 1.3.1

• テーマ名：Compass
• 深刻度: Medium
• 脆弱性: Sensitive Data Exposure
• CVE: CVE-2025-59003
• インストール数: 65,712
• 影響を受けるバージョン: Compass (No fix available)
• 修正済みバージョン: No fix available

WordPress保守・運用のパートナーなら「wp.support」にお任せ！

WordPressサイトを運用していて、以下のようなお悩みはありませんか？

• 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
• サイトのUI/UXを改善したいけれど、自社内では難しい…
• WordPressサイトを高速化したいけれど、ノウハウがない…
• セキュリティ対策をしたいけれど、知識のある人材がいない…
• 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
• ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する