WordPress脆弱性情報:2025年07月分

2025年07月に確認されたWordPress関連の脆弱性情報です。プラグイン351件、テーマ31件、合計382件の脆弱性が報告されています。

2025年07月に確認されたWordPress関連の脆弱性情報です。

プラグイン351件、テーマ31件、合計382件の脆弱性が報告されています。

プラグイン

名称 脆弱性の種類 対象ver. パッチ済ver. 重要度 CVE ID
AI Engine: ChatGPT Chatbot 任意ファイルアップロード 2.9.3-2.9.4 2.9.5 CVE-2025-7847
NinjaScanner – Virus & Malware scan 任意ファイル削除 <= 3.2.5 3.2.6 CVE-2025-8213
Customer Reviews for WooCommerce クロスサイトスクリプティング <= 5.80.2 5.81.0 CVE-2025-5720
GiveWP クロスサイトスクリプティング <= 4.5.0 4.6.0 CVE-2025-7205
Magical Posts Display クロスサイトスクリプティング <= 1.2.52 1.2.53 CVE-2025-54706
Easy Elementor Addons クロスサイトスクリプティング <= 2.2.6 2.2.7 CVE-2025-54704
Masteriyo – LMS クロスサイトスクリプティング <= 1.18.3 1.18.4 CVE-2025-54699
WPFunnels クロスサイトスクリプティング <= 3.5.26 3.5.27 CVE-2025-54696
JetEngine クロスサイトスクリプティング <= 3.7.1.2 3.7.2 CVE-2025-54688
JetTabs クロスサイトスクリプティング <= 2.2.9.1 2.2.9.2 CVE-2025-54687
Integration for Contact Form 7 and Constant Contact クロスサイトスクリプティング <= 1.1.7 1.1.8 CVE-2025-54684
WP Modal Popup with Cookie Integration クロスサイトスクリプティング <= 2.4 2.5 CVE-2025-54683
Classified Listing Content Injection Vulnerability <= 5.0.0 5.0.1 CVE-2025-54698
HT Mega アクセス制御の不備 <= 2.9.0 2.9.1 CVE-2025-54695
Connector for Gravity Forms and Google Sheets クロスサイトリクエストフォージェリ <= 1.2.4 1.2.5 CVE-2025-54682
Motors 安全でない直接オブジェクト参照 <= 1.4.80 1.4.81 CVE-2025-54691
Connector for Gravity Forms and Google Sheets オープンリダイレクト <= 1.2.4 1.2.5 CVE-2025-54681
WpEvently アクセス制御の不備 <= 4.4.6 4.4.7 CVE-2025-54705
Integrate Google Drive クロスサイトリクエストフォージェリ <= 1.5.2 1.5.3 CVE-2025-54703
Ebook Store クロスサイトリクエストフォージェリ <= 5.8013 5.8014 CVE-2025-54702
Button Block クロスサイトリクエストフォージェリ <= 1.2.0 1.2.1 CVE-2025-54694
HT Mega – Absolute Addons For Elementor パストラバーサル <= 2.9.1 2.9.2 CVE-2025-8151
HT Mega – Absolute Addons For Elementor Improper Authorization to Authenticated (Contributor+) Limited Administrator Actions <= 2.9.1 2.9.2 CVE-2025-8068
HT Mega – Absolute Addons For Elementor Authenticated (Author+) Sensitive Information Exposure <= 2.9.1 2.9.2 CVE-2025-8401
Smart Slider 3 SQLインジェクション <= 3.5.1.28 3.5.1.29 CVE-2025-6348
Sky Addons for Elementor クロスサイトスクリプティング <= 3.1.4 3.2.0 CVE-2025-8216
Metform クロスサイトスクリプティング <= 4.0.1 4.0.2 CVE-2025-5684
StreamWeasels YouTube Integration クロスサイトスクリプティング <= 1.4.0 1.4.1 CVE-2025-7811
SW Kick Integration クロスサイトスクリプティング <= 1.1.4 1.1.5 CVE-2025-7810
Bonanza – WooCommerce Free Gifts Lite Missing Authorization to Authenticated (Subscriber+) Opt In Success vulnerability <= 1.0.0 CVE-2025-6730
Hydra Booking 権限昇格 1.1.0-1.1.18 1.1.19 CVE-2025-7689
Dataverse Integration 権限昇格 2.77-2.81 2.81.1 CVE-2025-7695
ReachShip WooCommerce Multi-Carrier & Conditional Shipping 任意ファイルアップロード <= 4.3.1 4.3.2 CVE-2025-53213
SEOPress for MainWP ローカルファイルインクルージョン <= 1.4 1.5 CVE-2025-48298
Support Board ローカルファイルインクルージョン <= 3.8.0 3.8.1 CVE-2025-54031
WP Pipes ローカルファイルインクルージョン <= 1.4.3 CVE-2025-28979
CSS & JavaScript Toolbox ローカルファイルインクルージョン < 12.0.3 12.0.3 CVE-2025-3703
My Reservation System クロスサイトスクリプティング <= 2.3 CVE-2025-7022
Affiliate Plus クロスサイトスクリプティング <= 1.3.2 CVE-2025-7690
Magical Addons For Elementor クロスサイトスクリプティング <= 1.3.8 1.3.9 CVE-2025-8196
Fan Page クロスサイトスクリプティング <= 1.0.1 CVE-2025-6681
YouTube Embed – YouTube Gallery, Vimeo Gallery – WordPress クロスサイトスクリプティング <= 10.3 CVE-2025-6692
Elementor Website Builder クロスサイトスクリプティング <= 3.30.2 3.30.3 CVE-2025-4566
StreamWeasels Twitch Integration クロスサイトスクリプティング <= 1.9.3 1.9.4 CVE-2025-7809
Elementor Website Builder – More Than Just a Page Builder クロスサイトスクリプティング <= 3.29.0 3.29.1 CVE-2025-3075
Brizy ファイルアップロード <= 2.6.20 2.6.21 CVE-2025-4370
WP memory クロスサイトリクエストフォージェリ <= 3.98 3.99 CVE-2025-8104
Geo Mashup ローカルファイルインクルージョン <= 1.13.16 1.13.17 CVE-2025-48293
WooCommerce Point Of Sale (POS) SQLインジェクション <= 1.4 CVE-2025-52820
ProfileGrid SQLインジェクション <= 5.9.5.3 5.9.5.4 CVE-2025-49033
MelaPress Login Security 認証回避 2.1.0-2.1.1 2.2.0 CVE-2025-6895
GeoDirectory SQLインジェクション <= 2.8.97 2.8.98 CVE-2024-13507
Wonder Slider Lite クロスサイトスクリプティング <= 14.4 14.5 CVE-2025-7501
Advanced iFrame クロスサイトスクリプティング <= 2025.5 2025.6 CVE-2025-6987
Timber Use of a Vulnerable Dependency vulnerability <= 1.23.1 1.23.3 CVE-2024-45411
WPeMatico RSS Feed Fetcher クロスサイトリクエストフォージェリ <= 2.8.7 2.8.8 CVE-2025-8103
Droip 任意ファイルアップロード <= 2.2.0 CVE-2025-5831
Droip Missing Authorization to Authenticated (Subscriber+) Many Actions vulnerability <= 2.2.0 CVE-2025-5835
Frontend File Manager Missing Authorization to Unauthenticated Arbitrary Post Deletion vulnerability <= 21.5 22.0 CVE-2023-7306
ElementsKit Elementor Addons and Templates クロスサイトスクリプティング <= 3.5.2 3.5.3 CVE-2025-3614
Omnishop Missing Registration Restriction to Unauthenticated Account Creation via /users/register REST Endpoint vulnerability <= 1.0.9 CVE-2025-6215
Ebook Store 任意ファイルアップロード <= 5.8012 5.8013 CVE-2025-7437
WPBookit 任意ファイルアップロード <= 1.0.6 1.0.7 CVE-2025-7852
ONLYOFFICE 権限昇格 1.1.0-2.2.0 CVE-2025-6380
WebinarIgnition 認証回避 <= 4.03.32 4.03.33 CVE-2025-6441
Post SMTP – WP SMTP Plugin with Email Logs and Mobile App for Failure Notifications – Gmail SMTP, Office 365, Brevo, Mailgun, Amazon SES and more Missing Authorization to Authenticated (Subscriber+) Account Takeover via Email Log Exposure <= 3.2.0 3.3.0 CVE-2025-24000
hiWeb Export Posts クロスサイトリクエストフォージェリ <= 0.9.0.0 CVE-2025-7640
Post Grid Master クロスサイトスクリプティング <= 3.4.13 CVE-2025-5084
Supreme Addons for Beaver Builder クロスサイトスクリプティング <= 1.0.9 CVE-2025-3669
Taeggie Feed クロスサイトスクリプティング <= 0.1.10 CVE-2025-6382
muse.ai video embedding クロスサイトスクリプティング <= 0.4 CVE-2025-6262
WP Applink クロスサイトスクリプティング <= 0.4.1 CVE-2025-6385
WP Get The Table クロスサイトスクリプティング <= 1.5 CVE-2025-6387
Get Youtube Subs クロスサイトスクリプティング <= 3.5 CVE-2025-7966
Station Pro クロスサイトスクリプティング <= 2.4.2 CVE-2025-7959
Voltax Video Player クロスサイトスクリプティング <= 1.6.5 CVE-2025-6539
Mine CloudVod クロスサイトスクリプティング <= 2.1.10 CVE-2025-8071
Structured Content クロスサイトスクリプティング <= 1.6.4 CVE-2025-4608
AI Engine: ChatGPT Chatbot Missing URL Scheme Validation to Authenticated (Subscriber+) Arbitrary File Read via simpleTranscribeAudio and get_audio Functions vulnerability <= 2.9.4 2.9.5 CVE-2025-7780
WPBakery Visual Composer クロスサイトスクリプティング <= 8.4.1 8.5 CVE-2025-4968
FunnelCockpit クロスサイトスクリプティング <= 1.4.2 CVE-2025-6588
Security Ninja – Secure Firewall & Secure Malware Scanner Authenticated (Administrator+) Arbitrary File Read vulnerability 5.201-5.242 5.243 CVE-2025-8009
iThoughts Advanced Code Editor クロスサイトリクエストフォージェリ <= 1.2.10 CVE-2025-7835
WP Wallcreeper Missing Authorization to Authenticated (Susbcriber+) Cache Enable/Disable vulnerability <= 1.6.1 CVE-2025-7822
Social Streams 権限昇格 <= 1.0.1 CVE-2025-7722
Realty Portal – Agent 権限昇格 <= 0.3.9 CVE-2025-6190
IDonatePro – Blood Donation, Request And Donor Management WordPress Plugin ローカルファイルインクルージョン <= 2.1.8 CVE-2025-30635
Widget for Google Reviews ローカルファイルインクルージョン <= 1.0.15 1.0.16 CVE-2025-53565
Cloud SAML SSO – Single Sign On Login ローカルファイルインクルージョン <= 1.0.18 1.0.19 CVE-2025-49264
Ghost Kit – Page Builder Blocks, Motion Effects & Extensions ローカルファイルインクルージョン <= 3.4.1 3.4.2 CVE-2025-53567
Custom API for WP SQLインジェクション <= 4.2.2 4.2.3 CVE-2025-54048
YANewsflash クロスサイトスクリプティング <= 1.0.3 CVE-2025-6054
Omnishop – Mobile shop apps complementing your WooCommerce webshop クロスサイトリクエストフォージェリ <= 1.0.9 CVE-2025-6214
Valuation Calculator クロスサイトスクリプティング <= 1.3.2 CVE-2025-5753
Fleetwire Fleet Management クロスサイトスクリプティング <= 1.0.19 CVE-2025-6261
WP Shortcodes Plugin — Shortcodes Ultimate クロスサイトスクリプティング <= 7.4.2 7.4.3 CVE-2025-8015
Featured Image Plus – Quick & Bulk Edit with Unsplash サーバーサイドリクエストフォージェリ <= 1.6.6 1.6.7 CVE-2025-5818
Foxypress 任意ファイルアップロード < 0.4.2.2 0.4.2.2 CVE-2012-10020
bSecure – Your Universal Checkout 権限昇格 1.3.7-1.7.9 CVE-2025-6187
Formality ローカルファイルインクルージョン <= 1.5.9 1.5.10 CVE-2025-48157
Nginx Cache Purge Preload リモートコード実行 <= 2.1.1 2.1.3 CVE-2025-6213
Extensions For CF7 任意ファイル削除 <= 3.2.8 3.2.9 CVE-2025-7645
Orion Login with SMS Authenticated Bypass via Weak OTP vulnerability <= 1.0.5 CVE-2025-7692
WP JobHunt 安全でない直接オブジェクト参照 <= 7.2 CVE-2025-6585
Latest Post Accordian Slider クロスサイトスクリプティング <= 1.3 CVE-2025-7687
Like & Share My Site クロスサイトスクリプティング <= 0.2 CVE-2025-7685
SureForms クロスサイトスクリプティング < 1.7.2 1.7.2 CVE-2025-5921
Avishi WP PayPal Payment Button クロスサイトスクリプティング <= 2.0 CVE-2025-7669
Pixel Gallery Addons for Elementor クロスサイトスクリプティング <= 1.6.7 1.6.8 CVE-2025-7644
WP-Members クロスサイトスクリプティング <= 3.5.4.1 3.5.4.2 CVE-2025-7495
User Registration クロスサイトスクリプティング <= 4.2.4 4.3.0 CVE-2025-6831
CRM and Lead Management by vcita クロスサイトスクリプティング <= 2.7.5 2.8.0 CVE-2025-5240
Shortcodes Ultimate クロスサイトスクリプティング <= 7.4.2 7.4.3 CVE-2025-7354
Gutentor クロスサイトスクリプティング <= 3.4.8 3.4.9 CVE-2025-4685
EPay.bg Payments クロスサイトスクリプティング <= 0.1 CVE-2025-7653
Ebook Store クロスサイトスクリプティング <= 5.8012 5.8013 CVE-2025-7486
Birth Chart Compatibility Unauthenticated Full Path Exposure vulnerability <= 2.0 CVE-2025-6082
Shortcodes Ultimate クロスサイトリクエストフォージェリ <= 7.4.2 7.4.3 CVE-2025-7369
WooCommerce Refund And Exchange with RMA 任意ファイルアップロード <= 3.2.6 3.2.7 CVE-2025-6222
MasterStudy LMS Pro 任意ファイルアップロード <= 4.7.9 4.7.10 CVE-2025-7438
LoginPress Pro 認証回避 <= 5.0.1 5.0.2 CVE-2025-7444
Integration for Google Sheets and Contact Form 7, WPForms, Elementor, Ninja Forms Unauthenticated PHP Object Injection via verify_field_val Function <= 1.1.1 1.1.2 CVE-2025-7697
Integration for Pipedrive and Contact Form 7, WPForms, Elementor, Ninja Forms Unauthenticated PHP Object Injection via verify_field_val Function <= 1.2.3 1.2.4 CVE-2025-7696
aapanel WP Toolkit 権限昇格 1.0 – 1.1 CVE-2025-6813
Attachment Manager 任意ファイル削除 <= 2.1.2 CVE-2025-7643
B1.lt for WooCommerce SQLインジェクション <= 2.2.56 CVE-2025-6718
Forminator SQLインジェクション <= 1.45.0 1.45.1 CVE-2025-7638
Zuppler Online Ordering クロスサイトスクリプティング <= 2.1.0 CVE-2025-6053
Malcure Malware Scanner Missing Authorization to Authenticated (Subscriber+) Arbitrary File Read vulnerability <= 16.8 16.9 CVE-2025-7772
Useful Tab Block クロスサイトスクリプティング <= 1.3.2 CVE-2025-5754
Testimonial Post type クロスサイトスクリプティング <= 1.2.1 CVE-2025-5800
Vertical scroll image slideshow gallery クロスサイトスクリプティング <= 11.1 CVE-2025-5752
Crowdfunding for WooCommerce クロスサイトスクリプティング <= 3.1.14 CVE-2025-5767
Map My Locations クロスサイトスクリプティング <= 1.1 CVE-2025-7660
Ruven Themes: Shortcodes クロスサイトスクリプティング <= 1.0 CVE-2025-7648
ThemeREX Addons クロスサイトスクリプティング <= 2.35.1.1 2.35.2.2 CVE-2025-6997
Live Stream Badger クロスサイトスクリプティング <= 1.4.3 CVE-2025-7655
Partnerský systém Martinus クロスサイトスクリプティング <= 1.7.1 CVE-2025-7661
Temporarily Hidden Content クロスサイトスクリプティング <= 1.0.6 CVE-2025-7658
Terms descriptions クロスサイトスクリプティング <= 3.4.8 CVE-2025-6719
Listly Unauthenticated Arbitrary Transient Deletion vulnerability <= 2.7 CVE-2025-5811
MORKVA Vchasno Kasa Integration Unauthenticated Log File Clearing <= 1.0.3 1.0.4 CVE-2025-6720
MORKVA Vchasno Kasa Integration Missing Authorization to Unauthenticated Invoice Generation <= 1.0.3 1.0.4 CVE-2025-6721
Block Editor Gallery Slider Missing Authorization to Authenticated (Subscriber+) Limited Post Meta Update vulnerability <= 1.1.1 1.1.2 CVE-2025-6726
Biteship 安全でない直接オブジェクト参照 <= 3.2.0 CVE-2025-5816
Copymatic クロスサイトリクエストフォージェリ <= 2.1 CVE-2025-6781
School Management System for WordPress ローカルファイルインクルージョン <= 93.1.0 1.93.1 (02-07-2025) CVE-2025-3740
Madara – Responsive Manga Site 任意ファイル削除 <= 2.2.3 2.2.4 CVE-2025-7712
Transposh WordPress Translation SQLインジェクション <= 1.0.8.1 1.0.9.2 CVE-2022-25811
Transposh WordPress Translation リモートコード実行 <= 1.0.8.1 1.0.9.2 CVE-2022-25812
Transposh WordPress Translation クロスサイトスクリプティング <= 1.0.7 1.0.8 CVE-2021-24910
Transposh WordPress Translation クロスサイトスクリプティング <= 1.0.7 1.0.8 CVE-2021-24911
B1.lt SQLインジェクション <= 2.2.56 CVE-2025-6717
Transposh WordPress Translation Missing Authorization Checks vulnerability <= 1.0.8.1 1.0.9.2 CVE-2022-25810
Knowledge Base クロスサイトスクリプティング <= 2.3.1 2.3.2 CVE-2025-7431
Stop User Enumeration Protection Bypass vulnerability < 1.7.3 1.7.3 CVE-2025-4302
Transposh WordPress Translation クロスサイトリクエストフォージェリ <= 1.0.8.1 1.0.9.2 CVE-2021-24912
Bears Backup リモートコード実行 <= 2.0.0 2.1.0 CVE-2025-5396
HTML5 Radio Player – WPBakery Page Builder Addon 任意ファイルアップロード <= 2.5 2.5.3 CVE-2025-31070
The E-Commerce ERP: Purchasing, Inventory, Fulfillment, Manufacturing, BOM, Accounting, Sales Analysis 権限昇格 <= 2.1.1.3 CVE-2025-52836
URL Shortener Plugin For WordPress Unauthenticated PHP Object Injection <= 3.0.7 CVE-2025-28961
YaySMTP SQLインジェクション <= 1.3 1.3.1 CVE-2025-48161
YayExtra SQLインジェクション <= 1.5.5 1.5.6 CVE-2025-48299
SMTP for SendGrid – YaySMTP SQLインジェクション <= 1.5 1.5.1 CVE-2025-48301
SMTP for Amazon SES SQLインジェクション <= 1.9 1.9.1 CVE-2025-54043
WP-BusinessDirectory – Business directory plugin for WordPress SQLインジェクション <= 3.1.3 CVE-2025-24759
URL Shortener Plugin For WordPress SQLインジェクション <= 3.0.7 CVE-2025-28959
Import CDN-Remote Images クロスサイトリクエストフォージェリ <= 2.1.2 2.1.3 CVE-2025-48153
Image Wall クロスサイトスクリプティング <= 3.1 3.2 CVE-2025-48156
Easy Elementor Addons クロスサイトスクリプティング <= 2.2.5 2.2.6 CVE-2025-48295
LightBox Block クロスサイトスクリプティング <= 1.1.30 1.1.31 CVE-2025-54051
Responsive Addons for Elementor クロスサイトスクリプティング <= 1.7.3 1.7.4 CVE-2025-54050
ProfileGrid – User Profiles, Groups and Communities SQLインジェクション <= 5.9.5.2 5.9.5.3 CVE-2025-49876
Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery – Upload, Vote, Sell via PayPal or Stripe, Social Share Buttons, OpenAI クロスサイトスクリプティング <= 26.0.6 26.0.7 CVE-2025-48291
Chatbox Manager アクセス制御の不備 <= 1.2.5 1.2.6 CVE-2025-48167
Restaurant Menu by MotoPress クロスサイトリクエストフォージェリ <= 2.4.6 2.4.7 CVE-2025-54038
Residential Address Detection アクセス制御の不備 <= 2.5.9 2.5.10 CVE-2025-48155
Stop and Block bots plugin Anti bots アクセス制御の不備 <= 1.48 1.50 CVE-2025-48166
Product XML Feed Manager for WooCommerce – Google Shopping, Social Sites, Skroutz & More Missing Authorization <= 2.9.2 2.9.3 CVE-2025-30959
FG Drupal to WordPress サーバーサイドリクエストフォージェリ <= 3.90.0 3.90.1 CVE-2025-48294
Real Estate Property 2024 Create Your Own Fields and Search Bar WP アクセス制御の不備 <= 4.48 4.49 CVE-2025-48150
Cost Calculator アクセス制御の不備 <= 7.4 7.5 CVE-2025-54047
WP Post Hide クロスサイトリクエストフォージェリ <= 1.0.9 1.1.0 CVE-2025-54042
Wallet System for WooCommerce クロスサイトリクエストフォージェリ <= 2.6.7 2.6.8 CVE-2025-54041
Animator クロスサイトリクエストフォージェリ <= 3.0.16 3.0.17 CVE-2025-54039
Pro Bulk Watermark Plugin for WordPress パストラバーサル <= 2.0 CVE-2025-28973
JetEngine リモートコード実行 <= 3.7.0 3.7.1.1 CVE-2025-53194
Counter live visitors for WooCommerce 任意ファイル削除 <= 1.3.6 CVE-2025-7359
Malcure Malware Scanner — #1 Toolset for Malware Removal 任意ファイル削除 <= 17.0 17.1 CVE-2025-6043
Ultimate WP Mail 権限昇格 1.0.17 – 1.3.6 1.3.7 CVE-2025-6993
Restrict File Access クロスサイトリクエストフォージェリ <= 1.1.2 CVE-2025-7667
WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce クロスサイトスクリプティング <= 3.1.50 3.1.51 CVE-2025-2800
Media Library Assistant クロスサイトスクリプティング <= 3.26 3.27 CVE-2025-7035
Affiliate Reviews クロスサイトスクリプティング <= 1.0.6 CVE-2025-5845
Brandfolder – Digital Asset Management Simplified. クロスサイトスクリプティング <= 5.0.19 CVE-2025-5843
Master Addons – Elementor Addons with White Label, Free Widgets, Hover Effects, Conditions, & Animations クロスサイトスクリプティング <= 2.0.8.2 2.0.8.3 CVE-2025-5284
Avada (Fusion) Builder クロスサイトスクリプティング <= 3.12.1 3.12.2 CVE-2025-6747
ProfileGrid – User Profiles, Groups and Communities クロスサイトスクリプティング <= 5.9.5.4 5.9.5.5 CVE-2025-6977
HT Contact Form 7 任意ファイルアップロード <= 2.2.1 2.2.2 CVE-2025-7340
Modern Events Calendar Lite SQLインジェクション <= 6.3.0 6.4.0 CVE-2021-4458
HT Contact Form 7 ディレクトリトラバーサル <= 2.2.1 2.2.2 CVE-2025-7360
HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder. 任意ファイル削除 <= 2.2.1 2.2.2 CVE-2025-7341
Strong Testimonials クロスサイトスクリプティング <= 3.2.11 3.2.12 CVE-2025-7367
Companion Auto Update クロスサイトスクリプティング <= 3.9.2 3.9.3 CVE-2025-4369
Medical Prescription Attachment 任意ファイルアップロード <= 1.2.3 CVE-2025-29009
WordPress-WPJobBoard SQLインジェクション <= 25.07010000-WP6.8.1-JB5.11.5 CVE-2025-49455
WPBookit 任意ファイルアップロード <= 1.0.4 1.0.5 CVE-2025-6058
BeeTeam368 Extensions 任意ファイルアップロード <= 2.3.5 2.3.6 CVE-2025-6423
WPBookit 任意ファイルアップロード <= 1.0.4 1.0.5 CVE-2025-6057
Friends Authenticated (Subscriber+) PHP Object Injection vulnerability <= 3.5.1 3.5.2 CVE-2025-7504
GeoDirectory クロスサイトスクリプティング < 2.8.120 2.8.120 CVE-2025-6200
Order Delivery Date for WP e-Commerce Unauthenticated Arbitrary Post Title Disclosure vulnerability < 12.6.0 12.6.0 CVE-2025-2942
RSFirewall! Authenticated (Admin+) Arbitrary File Read vulnerability <= 1.1.42 1.1.43 CVE-2025-7518
GB Forms DB リモートコード実行 <= 1.0.2 1.0.3 CVE-2025-5392
Premium Age Verification / Restriction for WordPress Unauthenticated Arbitrary File Read and Write via remote_tunnel.php <= 3.0.2 CVE-2025-7401
WPGYM – WordPress Gym Management System SQLインジェクション < 67.8.0 67.8.0 CVE-2025-7442
Broken Link Notifier サーバーサイドリクエストフォージェリ <= 1.3.0 1.3.1 CVE-2025-6851
Hostel クロスサイトスクリプティング < 1.1.5.8 1.1.5.8 CVE-2025-6234
WPC Smart Compare for WooCommerce クロスサイトスクリプティング <= 6.4.6 6.4.7 CVE-2025-5530
WP Register Profile With Shortcode Authenticated (Contributor+) Sensitive Information Exposure vulnerability <= 3.6.2 3.6.3 CVE-2025-4593
FooGallery クロスサイトスクリプティング <= 2.4.31 2.4.32 CVE-2025-6068
Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery – Upload, Vote, Sell via PayPal or Stripe, Social Share Buttons, OpenAI クロスサイトスクリプティング <= 26.0.8 26.0.9 CVE-2025-6716
OwnerRez クロスサイトスクリプティング <= 1.2.1 1.2.2 CVE-2025-28957
Hostel クロスサイトスクリプティング < 1.1.5.9 1.1.5.9 CVE-2025-6236
Broken Link Notifier Authenticated (Contributor+) CSV Injection vulnerability <= 1.3.0 1.3.1 CVE-2025-6838
Events Manager SQLインジェクション <= 7.0.3 7.0.4 CVE-2025-6970
Short URL SQLインジェクション <= 1.6.8 CVE-2023-2921
SureForms 任意ファイル削除 <= 1.7.3 1.7.4 CVE-2025-6691
WP Lightbox 2 クロスサイトスクリプティング < 3.0.6.8 3.0.6.8 CVE-2025-3745
WP File Download クロスサイトスクリプティング < 6.2.6 6.2.6 CVE-2025-5034
Gwolle Guestbook クロスサイトスクリプティング <= 4.9.2 4.9.3 CVE-2025-5807
Events Manager クロスサイトスクリプティング <= 7.0.3 7.0.4 CVE-2025-6975
Easy Contact Form Lite クロスサイトスクリプティング <= 1.1.28 1.1.29 CVE-2025-5730
Custom Post Carousels with Owl クロスサイトスクリプティング < 1.4.12 1.4.12 CVE-2025-5125
Events Manager クロスサイトスクリプティング <= 7.0.3 7.0.4 CVE-2025-6976
wpForo Forum クロスサイトスクリプティング <= 2.4.5 2.4.6 CVE-2025-4406
Lana Downloads Manager クロスサイトスクリプティング <= 1.10.0 1.11.0 CVE-2025-7387
Newsletter クロスサイトスクリプティング < 8.8.5 8.8.5 CVE-2025-3582
Sharable Password Protected Posts Unauthenticated Password Protect Post Access vulnerability < 1.1.1 1.1.1 CVE-2025-5920
Support Board 認可回避 <= 3.8.0 3.8.1 CVE-2025-4855
Support Board 任意ファイル削除 <= 3.8.0 3.8.1 CVE-2025-4828
Service Finder Bookings 権限昇格 <= 6.0 CVE-2025-23970
Easy Stripe – Tips, Payments, and Donations リモートコード実行 <= 1.1 1.2 CVE-2025-49302
Click & Pledge Connect SQLインジェクション <= 25.04010101-WP6.8 25.07000000-WP6.8.1 CVE-2025-28983
Masteriyo LMS PRO 権限昇格 <= 2.20.0 2.20.1 CVE-2025-53209
CouponXxL Custom Post Types 権限昇格 <= 3.0 3.1 CVE-2025-52726
FW Gallery – Photo, video, audio media presentation and management system with players and slideshow 任意ファイルアップロード <= 8.0.0 CVE-2025-49414
WordPress CRM, Email & Marketing Automation for WordPress | Award Winner — Groundhogg 任意ファイルアップロード <= 4.2.1 4.2.2 CVE-2025-48300
SureForms Unauthenticated PHP Object Injection (PHAR) vulnerability <= 1.7.3 1.7.4 CVE-2025-6742
Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction SQLインジェクション <= 2.15.1 2.15.2 CVE-2025-49870
bSecure – Your Universal Checkout SQLインジェクション <= 1.7.9 CVE-2025-52830
WP Compress – Instant Performance & Speed Optimization Unauthenticated Broken Authentication <= 6.30.30 6.30.31 CVE-2025-47479
URL Shortener Plugin For WordPress サーバーサイドリクエストフォージェリ <= 3.0.7 CVE-2025-28963
Bulk Featured Image 任意ファイルアップロード <= 1.2.2 CVE-2025-28951
AI Bud – AI Content Generator, AI Chatbot, ChatGPT, Gemini, GPT-4o 任意ファイルアップロード <= 1.8.5 CVE-2025-23968
Simple Featured Image クロスサイトスクリプティング <= 1.3.1 CVE-2025-7059
Gutenberg Blocks by Kadence Blocks クロスサイトスクリプティング <= 3.5.10 3.5.11 CVE-2025-5678
WCFM – Frontend Manager for WooCommerce Missing Authorization to Unauthenticated Plugin Settings Modification vulnerability <= 6.7.16 6.7.17 CVE-2025-3780
Gallery Widget SQLインジェクション <= 1.2.1 CVE-2025-28969
Cool fade popup SQLインジェクション <= 10.1 CVE-2025-30947
iFrame Images Gallery SQLインジェクション <= 9.0 CVE-2025-30969
Video Gallery Block – Display your videos as a gallery in a professional way クロスサイトスクリプティング <= 1.1.0 CVE-2025-27326
(Simply) Guest Author Name クロスサイトスクリプティング <= 4.36 4.40 CVE-2025-24764
Card flip image slideshow クロスサイトスクリプティング <= 1.5 CVE-2025-30983
Posts Slider Shortcode クロスサイトスクリプティング <= 1.0 CVE-2025-30943
CF7 7 Mailchimp Add-on Missing Authorization <= 2.2 CVE-2025-29012
Chatra Live Chat + ChatBot + Cart Saver クロスサイトスクリプティング <= 1.0.11 CVE-2025-24735
LMSACE Connect – WooCommerce Moodle™ LMS Integration Missing Authorization <= 3.4 CVE-2025-29007
WooCommerce Shop Page Builder Missing Authorization <= 2.27.7 CVE-2025-29001
Contact Form 7 reCAPTCHA クロスサイトリクエストフォージェリ <= 1.2.0 CVE-2025-23972
GoZen Forms SQLインジェクション <= 1.1.5 CVE-2025-6782
WP Human Resource Management 権限昇格 2.0.0-2.2.17 CVE-2025-5953
Widget for Google Reviews ローカルファイルインクルージョン <= 1.0.15 1.0.16 CVE-2025-7327
Contact Form 7 Database Addon – CFDB7 クロスサイトスクリプティング <= 1.3.1 1.3.2 CVE-2025-6740
Essential Addons for Elementor クロスサイトスクリプティング <= 6.1.19 6.1.20 CVE-2025-6244
AI Engine: ChatGPT Chatbot クロスサイトスクリプティング <= 2.8.4 2.8.5 CVE-2025-5570
Post Grid, Image Gallery & Portfolio for Elementor | PowerFolio クロスサイトスクリプティング <= 3.2.0 3.2.1 CVE-2025-7046
Easy pdf restaurant menu upload クロスサイトスクリプティング <= 2.0.1 2.0.2 CVE-2025-6673
Lightbox & Modal Popup WordPress Plugin – FooBox クロスサイトスクリプティング <= 2.7.34 2.7.35 CVE-2025-5537
Guest Support Missing Authorization to Unauthenticated Ticket Deletion vulnerability <= 1.2.2 1.2.3 CVE-2025-5957
WP Firebase Push Notification クロスサイトリクエストフォージェリ <= 1.2.0 CVE-2025-5924
Pixelating image slideshow gallery SQLインジェクション <= 8.0 CVE-2025-30979
Contact Us page – Contact people LITE SQLインジェクション <= 3.7.4 CVE-2025-28967
WP fancybox クロスサイトスクリプティング <= 1.0.4 CVE-2025-26591
MyRewards クロスサイトスクリプティング <= 5.4.14 CVE-2025-24757
Easy Elements Hider クロスサイトスクリプティング <= 2.0 CVE-2025-28971
fluXtore アクセス制御の不備 <= 1.6.0 CVE-2025-30929
Frontend File Manager Content Injection Vulnerability <= 23.2 CVE-2025-27358
Download 任意ファイルアップロード <= 2.2.8 2.2.9 CVE-2025-6586
VikRentCar 任意ファイルアップロード <= 1.4.3 1.4.4 CVE-2025-5322
WPvivid Backup and Migration 任意ファイルアップロード <= 0.9.116 0.9.117 CVE-2025-5961
WPQuiz SQLインジェクション <= 0.4.2 CVE-2025-6739
AI Engine: ChatGPT Chatbot Insecure OAuth Implementation vulnerability <= 2.8.4 2.8.5 CVE-2025-6238
JKDEVKIT 任意ファイル削除 <= 1.9.4 CVE-2025-2932
Booking X 情報開示 1.0-1.1.2 CVE-2025-6814
GoZen Forms SQLインジェクション <= 1.1.5 CVE-2025-6783
yContributors クロスサイトスクリプティング <= 0.5 CVE-2025-6041
Premium Addons for Elementor クロスサイトスクリプティング <= 4.10.69 4.10.70 CVE-2024-11937
Uncode Core クロスサイトスクリプティング <= 2.9.4.2 2.9.4.3 CVE-2025-6944
Shortcodes Ultimate クロスサイトスクリプティング <= 7.4.0 7.4.1 CVE-2025-5567
Smart Docs クロスサイトスクリプティング <= 1.1.0 1.1.1 CVE-2025-6787
ProcessingJS for WordPress クロスサイトスクリプティング <= 1.2.2 CVE-2025-6039
WP Human Resource Management Missing Authorization to Authenticated (Employee+) Arbitrary User Deletion vulnerability 2.0.0-2.2.17 CVE-2025-5956
PayMaster for WooCommerce サーバーサイドリクエストフォージェリ <= 0.4.31 CVE-2025-6729
DocCheck Login Unauthorized Post Access vulnerability <= 1.1.5 1.1.6 CVE-2025-6786
RD Contacto クロスサイトリクエストフォージェリ <= 1.4 CVE-2025-5933
Trust Payments Gateway for WooCommerce (JavaScript Library) クロスサイトリクエストフォージェリ <= 1.3.6 1.3.7 CVE-2025-53569
Radio Station クロスサイトリクエストフォージェリ <= 2.5.12 2.5.13 CVE-2025-53568
Drag and Drop Multiple File Upload (Pro) – WooCommerce リモートコード実行 <= 1.7.1,5.0-5.0.5 1.7.2,5.0.7 CVE-2025-5746
Hotel Booking ローカルファイルインクルージョン <= 3.7 3.8 CVE-2025-53259
Gmedia Photo Gallery ローカルファイルインクルージョン <= 1.23.0 CVE-2025-53257
PeepSo Core: Groups クロスサイトスクリプティング <= 6.4.6.0 6.4.6.1 CVE-2024-9017
Element Pack Elementor Addons クロスサイトスクリプティング 8.0.0 8.1.0 CVE-2025-5944
Auto Thickbox クロスサイトスクリプティング <= 3.5 CVE-2025-2537
Awesome Gallery クロスサイトスクリプティング <= 1.0 CVE-2025-2540
BlossomThemes Social Feed クロスサイトスクリプティング <= 2.0.5 CVE-2024-5647
Bit Form – Contact Form Unauthenticated Sensitive Information Exposure vulnerability <= 2.17.5 2.17.6 CVE-2024-13451
Hover Effects – easily create any hover effect SQLインジェクション <= 2.1.2 CVE-2025-53258
ONet Regenerate Thumbnails クロスサイトリクエストフォージェリ <= 1.5 CVE-2025-53264
WPKit For Elementor Missing Authorization to Unauthenticated Arbitrary Options Update <= 1.1.0 CVE-2025-32281
Ads Pro Plugin – Multi-Purpose WordPress Advertising Manager ローカルファイルインクルージョン <= 4.89 CVE-2025-4689
Davenport – Versatile Blog and Magazine WordPress Theme ローカルファイルインクルージョン <= 1.3 CVE-2025-52811
Ads Pro SQLインジェクション <= 4.89 CVE-2025-6437
Custom Login And Signup Widget Arbitrary Code Execution vulnerability <= 1.0 CVE-2025-49029
FW Food Menu – Responsive food menu with ordering & delivery solutions 任意ファイル削除 <= 6.0.0 CVE-2025-49448
Ads Pro クロスサイトリクエストフォージェリ <= 4.89 CVE-2025-6459
Forminator Forms – Contact Form, Payment Form & Custom Form Builder 任意ファイル削除 <= 1.44.2 1.44.3 CVE-2025-6463
Lead Form Data Collection to CRM Authenticated (Subscriber+) Arbitrary Options Update <= 3.1 3.2 CVE-2025-5692
Ads Pro Plugin – Multi-Purpose WordPress Advertising Manager ローカルファイルインクルージョン <= 4.89 CVE-2025-4380
Forminator Unauthenticated PHP Object Injection (PHAR) Triggered via Administrator Form Submission Deletion vulnerability <= 1.44.2 1.44.3 CVE-2025-6464
Ads Pro Plugin – Multi-Purpose WordPress Advertising Manager SQLインジェクション <= 4.89 CVE-2025-5339
Ads Pro Plugin – Multi-Purpose WordPress Advertising Manager SQLインジェクション <= 4.89 CVE-2025-4381
Amazon Products to WooCommerce サーバーサイドリクエストフォージェリ <= 1.2.7 CVE-2025-5817
File Manager Plugin For WordPress 任意ファイルアップロード <= 7.5 CVE-2025-53260
DearFlip クロスサイトスクリプティング <= 2.3.65 2.3.67 CVE-2025-5314
WidgetKit クロスサイトスクリプティング <= 2.5.4 2.5.5 CVE-2025-2330
Magic Buttons for Elementor クロスサイトスクリプティング <= 1.0 CVE-2025-6687
Magic Buttons for Elementor クロスサイトスクリプティング <= 1.0 1.1 CVE-2025-6686
WP Front-end login and register クロスサイトスクリプティング <= 2.1.0 CVE-2024-11405
Backwp クロスサイトスクリプティング <= 2.0.2 CVE-2025-28956
Additional Order Filters for WooCommerce クロスサイトリクエストフォージェリ <= 1.22 CVE-2025-53271
Aioseo Multibyte Descriptions クロスサイトリクエストフォージェリ <= 0.0.6 CVE-2025-53327
Dashboard Widget Sidebar Missing Authorization <= 1.2.3 CVE-2025-53293
WP CTA – Call To Action Plugin, Sticky CTA, Sticky Buttons クロスサイトリクエストフォージェリ <= 1.6.9 CVE-2025-53270
Cron Logger Missing Authorization <= 1.3.0 CVE-2025-53266
Image Cleanup クロスサイトリクエストフォージェリ <= 1.9.2 CVE-2025-53272
Burst Statistics – Privacy-Friendly Analytics for WordPress クロスサイトリクエストフォージェリ <= 2.0.6 2.0.8 CVE-2025-53193
Soumettre.fr Improper Authorization to Unauthenticated Soumettre Posts Creation/Modification/Deletion vulnerability <= 2.1.5 2.1.6 CVE-2025-4654
Opal Estate Pro 権限昇格 <= 1.7.5 CVE-2025-6934
Ultimate Addons for Contact Form 7 クロスサイトスクリプティング <= 3.5.21 3.5.22 CVE-2025-6756
Booking calendar, Appointment Booking System SQLインジェクション <= 3.2.17 3.2.18

テーマ

名称 脆弱性の種類 対象ver. パッチ済ver. 重要度 CVE ID
Appzend クロスサイトスクリプティング <= 1.2.6 1.2.7 CVE-2025-5587
Platform Missing Authorization to Unauthenticated Arbitrary Options Update vulnerability < 1.4.4 1.4.4 CVE-2015-10143
Bricks Builder SQLインジェクション <= 1.12.4 2.0 CVE-2025-6495
KALLYAS – Creative eCommerce Multi-Purpose WordPress Theme Authenticated (Contributor+) Arbitrary Folder Deletion vulnerability <= 4.21.0 4.22.0 CVE-2025-6989
cena ローカルファイルインクルージョン <= 2.11.26 2.11.27 CVE-2025-48171
vidmov ローカルファイルインクルージョン <= 1.9.4 CVE-2025-25172
caliris-wp ローカルファイルインクルージョン <= 1.5 1.6 CVE-2025-48160
MinimogWP Unauthenticated Price Manipulation vulnerability <= 3.9.0 3.9.1 CVE-2025-8198
KALLYAS – Creative eCommerce Multi-Purpose WordPress Theme ローカルファイルインクルージョン <= 4.21.0 4.22.0 CVE-2025-6991
Educenter クロスサイトスクリプティング <= 1.6.2 1.6.3 CVE-2025-5529
WoodMart リモートコード実行 <= 8.2.6 8.2.7 CVE-2025-8097
visual-arts Authenticated (Subscriber+) PHP Object Injection <= 2.4 CVE-2025-31422
traveler SQLインジェクション < 3.2.2 3.2.2 CVE-2025-52714
Alone 任意ファイルアップロード <= 7.8.3 7.8.5 CVE-2025-5394
alone 任意ファイル削除 <= 7.8.2 7.8.5 CVE-2025-5393
Nokri 権限昇格 <= 1.6.3 1.6.4 CVE-2025-1313
WoodMart Unauthenticated Post Disclosure vulnerability <= 8.2.5 8.2.6 CVE-2025-6745
Sala 権限昇格 <= 1.1.4 CVE-2025-4606
alone リモートコード実行 <= 7.8.2 7.8.5 CVE-2025-52718
couponxxl Unauthenticated PHP Object Injection <= 3.0.0 3.1.0 CVE-2025-52725
logistics-hub 任意ファイルアップロード <= 1.1.6 CVE-2025-30933
woodmart ローカルファイルインクルージョン <= 8.2.3 8.2.4 CVE-2025-6746
WoodMart Unauthenticated Arbitrary Shortcode Execution vulnerability <= 8.2.3 8.2.4 CVE-2025-6744
WoodMart クロスサイトスクリプティング <= 8.2.3 8.2.4 CVE-2025-6743
Education Center PHP Object Injection vulnerability <= 3.6.10 3.6.11 CVE-2024-13786
mbstore ローカルファイルインクルージョン <= 2.3 CVE-2025-28947
greenmart ローカルファイルインクルージョン <= 4.2.3 4.2.4 CVE-2025-49883
bw-zenny ローカルファイルインクルージョン <= 1.7.5 CVE-2025-24769
homevillas-real-estate 任意ファイル削除 <= 2.8 CVE-2025-5014
redart Authenticated (Subscriber+) PHP Object Injection <= 3.7 CVE-2025-52828
vikinger 任意ファイル削除 <= 1.9.32 1.9.33 CVE-2025-4946

対応方法

  • パッチが提供されたバージョンはアップデートしましょう。
  • 特に重要度が高のものは確実にアップデートしておきましょう。

カテゴリ:
タグ:

WordPress × 2つまで
お問い合わせ
お申し込み