WordPress技術ブログは、毎週月曜日の午前7時に更新!最新の情報をお見逃しなく!

プラグインニュース

致命的!2025年4月のプラグイン脆弱性情報まとめ

 

WordPressサイトの安全性を維持するためには、常にプラグインを最新の状態に保つことが不可欠!

どんなに機能が充実したWordPressサイトも日ごろのメンテナンスを行っては意味がありません。

脆弱性情報をチェックしてあなたのサイトのセキュリティをグングン高めていきましょう!

復旧作業を代行します。「エラーの原因がわからない」「サイトがおかしい」「ハッキングされたかも...」このような場合の復旧作業を弊社で代行いたします。まずはお困りごとをお聞かせください。お問い合わせ・お見積りは無料です。今すぐお問い合わせをする。

WordPressのプラグイン更新を怠るとどうなる?

WordPressのプラグインを定期的に更新しないと、サイトがさまざまなリスクにさらされます。

まず、古いプラグインにはセキュリティ脆弱性が存在することがあり、これが悪意のある攻撃者に利用されると、サイトがハッキングされる可能性が高まります。

ハッキングされると、データの漏洩やサイトの改ざん、さらにはサイトの完全な乗っ取りなどの深刻な問題が発生する可能性があります。

危険度の高い脆弱性が発見されたプラグイン一覧(2025年3月末現在)

プラグイン名バージョン脆弱性内容
AI Hub – Startup & Technology WordPress Theme<= 1.3.3未認証の任意ファイルアップロード
AIHub<= 1.3.7generate_image による未認証の任意ファイルアップロード
Altair<= 5.2.2未認証のPHPオブジェクトインジェクション
Booking Calendar and Notification<= 4.0.3認証回避
Build App Online<= 1.0.23未認証のローカルファイルインクルージョン
CWW Portfolio<= 1.3.1未認証のローカルファイルインクルージョン
Capturly<= 2.0.1未認証のローカルファイルインクルージョン
Checkout Field Visibility for WooCommerce<= 1.2.3未認証のローカルファイルインクルージョン
CiyaShop<= 4.18.0未認証のPHPオブジェクトインジェクション
Coming Soon, Maintenance Mode<= 1.1.1未認証のローカルファイルインクルージョン
Database Toolset<= 1.8.4未認証の任意ファイル削除
Database Toolset<= 1.8.4未認証の任意ファイル削除
DeBounce Email Validator<= 5.7未認証のローカルファイルインクルージョン
Dessau < 1.9 – Unauthenticated Local File Inclusion未認証のローカルファイルインクルージョン
DigiWidgets Image Editor<= 1.10未認証のリモートコード実行
Docket Cache<= 24.07.02未認証のローカルファイルインクルージョン
Drag and Drop Multiple File Upload for WooCommerce<= 1.1.4未認証の任意ファイル移動
DyaPress ERP/CRM<= 18.0.2.0未認証のローカルファイルインクルージョン
Dør<= 2.4未認証のローカルファイルインクルージョン
EventON<= 2.4未認証のローカルファイルインクルージョン
Everest Forms – Contact Form, Quiz, Survey, Newsletter & Payment Form Builder for WordPress<= 3.1.1未認証のPHPオブジェクトインジェクション
FAT Cooming Soon<= 1.1未認証のローカルファイルインクルージョン
Fable Extra<= 1.0.6未認証のローカルファイルインクルージョン
Fami WooCommerce Compare<= 1.0.5未認証のローカルファイルインクルージョン
Flexi – Guest Submit<= 4.28未認証のローカルファイルインクルージョン
FluentBoards<= 1.47未認証のPHPオブジェクトインジェクション
Flynax Bridge<= 2.2.0未認証のアカウント乗っ取りによる権限昇格
Flynax Bridge<= 2.2.0未認証のパスワード更新による権限昇格
Foodbakery Sticky Cart<= 3.2未認証のPHPオブジェクトインジェクション
Foton<= 2.5.2未認証のローカルファイルインクルージョン
Front-End-Only-Users<= 3.2.32未認証の任意ファイルアップロード
GNUCommerce<= 1.5.4未認証のPHPオブジェクトインジェクション
Grace Mag<= 1.1.5未認証のローカルファイルインクルージョン
Grand Conference<= 5.2未認証のPHPオブジェクトインジェクション
Grand Restaurant WordPress<= 7.0未認証のPHPオブジェクトインジェクション
Grand Restaurant WordPress<= 7.0パストラバーサルによる未認証のPHPオブジェクトインジェクション
Grip<= 1.0.9未認証のローカルファイルインクルージョン
HelpGent<= 2.2.4未認証のPHPオブジェクトインジェクション
Hospital Management System<= 47.0未認証の任意ファイルアップロード
IDonate<= 2.1.9未認証のローカルファイルインクルージョン
JS Job Manager<= 2.0.2未認証の任意ファイルアップロード
JS Job Manager<= 2.0.2未認証のローカルファイルインクルージョン
Kata Plus<= 1.5.2未認証のPHPオブジェクトインジェクション
Material Dashboard<= 1.4.5未認証のローカルファイルインクルージョン
Material Dashboard<= 1.4.6未認証の権限昇格
Meta Keywords & Description<= 0.8未認証のローカルファイルインクルージョン
Modal Survey<= 2.0.2.0.1未認証のローカルファイルインクルージョン
Motors<= 1.4.71未認証のローカルファイルインクルージョン
News & Blog Designer Pack<= 4.0未認証のローカルファイルインクルージョン
Opstore<= 1.4.5未認証のローカルファイルインクルージョン
Order Delivery Date for WooCommerce 2.0 – 12.3.1- Unauthenticated Arbitrary Options Update※翻訳未対応:12.3.1- Unauthenticated Arbitrary Options Update
OttoKit: All-in-One Automation Platform (Formerly SureTriggers)<= 1.0.82未認証の権限昇格
Oxygen MyData for WooCommerce<= 1.0.64未認証の任意ファイル削除
Paid Videochat Turnkey Site<= 7.3.11認証回避
Product Lister for eBay<= 2.0.9未認証のローカルファイルインクルージョン
Product Lister for eBay<= 2.0.9未認証のローカルファイルインクルージョン
Projectopia<= 5.1.16未認証のアカウント乗っ取りによる権限昇格
Quentn WP<= 1.2.8未認証の権限昇格
Quentn WP<= 1.2.8未認証の権限昇格
Ray Enterprise Translation<= 1.7.0未認証のローカルファイルインクルージョン
Real Estate 7<= 3.5.2未認証の権限昇格
Real Estate 7<= 3.5.2未認証の権限昇格
Real Estate Manager<= 7.3未認証のローカルファイルインクルージョン
Real Estate Manager<= 7.3未認証のリモートコード実行
SEUR Oficial<= 2.2.23未認証のローカルファイルインクルージョン
SUMO Reward Points<= 30.7.0未認証のローカルファイルインクルージョン
Service Finder Bookings<= 5.1未認証の「nsl_registration_store_extra_input」による権限昇格
Simple WP Events<= 1.8.17未認証の任意ファイル削除
Smart Sections Theme Builder – WPBakery Page Builder Addon<= 1.7.8未認証のPHPオブジェクトインジェクション
Smart Sections Theme Builder – WPBakery Page Builder Addon<= 1.7.8未認証のPHPオブジェクトインジェクション
Spreadsheet Price Changer for WooCommerce and WP E-commerce – Light<= 2.4.37未認証のローカルファイルインクルージョン
Széchenyi 2020 Logo<= 1.1未認証のローカルファイルインクルージョン
TableOn – WordPress Posts Table Filterable<= 1.0.4未認証のPHPオブジェクトインジェクション
TagDiv Composer<= 5.3未認証の任意PHPオブジェクト生成
Tastyc < 2.5.2 – Unauthenticated Local File Inclusion未認証のローカルファイルインクルージョン
Testimonial Slider And Showcase Pro<= 2.3.15未認証のローカルファイルインクルージョン
The Wound<= 0.0.1未認証のローカルファイルインクルージョン
Ultimate Bootstrap Elements for Elementor<= 1.4.9未認証のローカルファイルインクルージョン
UrbanGo Membership<= 1.0.4未認証の権限昇格
WP Food ordering and Restaurant Menu<= 1.1未認証のローカルファイルインクルージョン
WP FoodBakery<= 3.3未認証のPHPオブジェクトインジェクション
WP FoodBakery<= 3.3未認証のPHPオブジェクトインジェクション
WP-BusinessDirectory<= 3.1.2未認証の任意ファイル削除
WPAMS<= 44.0未認証のローカルファイルインクルージョン
WPAMS<= 44.0未認証のローカルファイルインクルージョン
WPAMS<= 44.0未認証の任意ファイルアップロード
Wanderland<= 1.7.1未認証のローカルファイルインクルージョン
Wanderland<= 1.7.1未認証のローカルファイルインクルージョン
WhatsApp Click to Chat Plugin for WordPress<= 2.2.12未認証のローカルファイルインクルージョン
Woffice<= 5.4.21登録ロールによる認証回避
Woffice Core<= 5.4.21認証済み(購読者以上)の任意ファイルアップロード
WooCommerce Pickupp<= 2.4.0未認証のローカルファイルインクルージョン
WordPress SMTP Service, Email Delivery Solved! — MailHawk<= 1.3.1未認証のローカルファイルインクルージョン
WpBookingly<= 1.2.1未認証のPHPオブジェクトインジェクション
Xews Lite<= 1.0.9未認証のローカルファイルインクルージョン
hockeydata LOS<= 1.2.4未認証のローカルファイルインクルージョン

プラグインの更新なら、お任せください!

弊社は2014年から10年間、WordPressを専門に取り扱っている会社です。

どんなご質問にも丁寧にサポートいたしますので、安心してお任せください!

お問い合わせはこちらのフォームから

メルマガ登録用

メルマガ登録で、最新情報をキャッチ!

WordPressの使いこなし術、プラグインの活用法、トラブル対策など、サイト運営に役立つ情報を月1でお届けしています。
「知らなかった…!」では済まされない大切なポイントを、今すぐチェックしませんか?





WordPressでお悩みの方へ!

ABOUT ME
taguchi
縁の下から力一杯支える所存で、営業サポートしていきます! 趣味:ヨガ、ドラマ
関連記事