WordPress脆弱性情報:2025年09月分

2025年09月に確認されたWordPress関連の脆弱性情報です。プラグイン273件、テーマ22件、合計295件の脆弱性が報告されています。

2025年09月に確認されたWordPress関連の脆弱性情報です。

プラグイン273件、テーマ22件、合計295件の脆弱性が報告されています。

プラグイン

名称 脆弱性の種類 対象ver. パッチ済ver. 重要度 CVE ID
Post By Email 任意ファイルアップロード <= 1.0.4b CVE-2025-9762
Copypress Rest API リモートコード実行 1.1-1.2 CVE-2025-8625
AffiliateWP SQLインジェクション <= 2.28.2 2.29.0 CVE-2025-8877
LatePoint クロスサイトリクエストフォージェリ <= 5.1.94 5.2.0 CVE-2025-7052
LatePoint 認証回避 <= 5.1.94 5.2.0 CVE-2025-7038
Tiny Bootstrap Elements Light ローカルファイルインクルージョン <= 4.3.34 CVE-2025-9991
Bei Fen – WordPress Backup Plugin ローカルファイルインクルージョン <= 1.4.2 CVE-2025-9993
Subscribe To Unlock ローカルファイルインクルージョン <= 1.1.5 CVE-2025-60153
Subscribe to Download ローカルファイルインクルージョン <= 2.0.9 CVE-2025-60150
Testimonial Slider – Free Testimonials Slider Plugin ローカルファイルインクルージョン <= 3.5.8.6 CVE-2025-60126
HieCOR Payment Gateway Plugin SQLインジェクション <= 1.5.11 2.0.0 CVE-2025-52773
Gutenify – Visual Site Builder Blocks & Site Templates. クロスサイトスクリプティング <= 1.5.7 1.5.8 CVE-2025-53324
LatePoint クロスサイトスクリプティング <= 5.1.94 5.2.0 CVE-2025-6941
All Social Share Options クロスサイトスクリプティング <= 1.0 CVE-2025-10131
Mihdan: Elementor Yandex Maps クロスサイトスクリプティング <= 1.6.11 1.7.0 CVE-2025-8608
Layers クロスサイトスクリプティング <= 0.5 1.0 CVE-2025-10130
Yoga Schedule Momoyoga クロスサイトスクリプティング <= 2.9.0 2.9.1 CVE-2025-9852
All in One Music Player パストラバーサル <= 1.3.1 CVE-2025-8559
planetcalc クロスサイトスクリプティング <= 2.2 CVE-2025-8777
BP Direct Menus クロスサイトスクリプティング <= 1.0.0 CVE-2025-10189
GutenBee クロスサイトスクリプティング <= 2.18.0 2.18.1 CVE-2025-8566
Eulerpool Research Systems クロスサイトスクリプティング <= 4.0.1 CVE-2025-10128
Any News Ticker クロスサイトスクリプティング <= 3.1.1 CVE-2025-10168
Nexa Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE クロスサイトスクリプティング <= 1.1.0 CVE-2025-8624
The Pack Elementor addon クロスサイトスクリプティング <= 2.1.5 2.1.6 CVE-2025-8214
Survey Anyplace クロスサイトスクリプティング <= 1.0.0 CVE-2025-10196
FancyTabs クロスサイトスクリプティング <= 1.1.0 CVE-2025-8560
WeedMaps Menu for WordPress クロスサイトスクリプティング <= 1.2.0 CVE-2025-8623
dbview クロスサイトスクリプティング <= 0.5.5 CVE-2025-10182
LockerPress – WordPress Security Plugin クロスサイトスクリプティング <= 1.0 CVE-2025-9946
LatePoint クロスサイトスクリプティング <= 5.1.94 5.2.0 CVE-2025-6815
SmartCrawl Missing Authorization to Plugin Settings Update vulnerability <= 3.14.3 3.14.4 CVE-2025-11163
GST for WooCommerce クロスサイトリクエストフォージェリ <= 2.0 CVE-2025-60173
Flytedesk Digital クロスサイトリクエストフォージェリ <= 20181101 CVE-2025-60172
Google+ Comments クロスサイトスクリプティング <= 1.0 CVE-2025-60186
kontur Admin Style クロスサイトスクリプティング <= 1.0.4 1.0.5 CVE-2025-60185
SEO Search Permalink クロスサイトスクリプティング <= 1.0.3 CVE-2025-60184
Silencesoft RSS Reader クロスサイトスクリプティング <= 0.6 CVE-2025-60183
Click & Tweet クロスサイトスクリプティング <= 0.8.9 CVE-2025-60179
Recaptcha – wp クロスサイトスクリプティング <= 0.2.6 CVE-2025-60177
WP Tesseract クロスサイトスクリプティング <= 1.0.2 CVE-2025-60176
Silencesoft RSS Reader サーバーサイドリクエストフォージェリ <= 0.6 CVE-2025-60181
PopAd サーバーサイドリクエストフォージェリ <= 1.0.4 CVE-2025-60175
Professional Contact Form クロスサイトリクエストフォージェリ <= 1.0.0 CVE-2025-9944
Sync Feedly クロスサイトリクエストフォージェリ <= 1.0.1 CVE-2025-9894
cForms クロスサイトリクエストフォージェリ <= 3.0.0 CVE-2025-9898
Easy Pricing Table WP ローカルファイルインクルージョン <= 1.1.3 CVE-2025-53450
Easy Elementor Addons ローカルファイルインクルージョン <= 2.2.8 2.2.9 CVE-2025-58973
Awesome Support – WordPress HelpDesk & Support Plugin Authenticated (Support Manager+) PHP Object Injection <= 6.3.5 CVE-2025-58662
immonex Kickstart Team ローカルファイルインクルージョン <= 1.6.9 1.7.0 CVE-2025-57925
pressapps-accordion-faq ローカルファイルインクルージョン <= 2.2.1 CVE-2025-58024
WP Statistics – Simple, privacy-friendly Google Analytics alternative クロスサイトスクリプティング <= 14.15.4 14.15.5 CVE-2025-9816
Team Members クロスサイトスクリプティング <= 5.3.5 5.3.6 CVE-2025-8440
WP Ticket Customer Service Software & Support Ticket System クロスサイトスクリプティング <= 6.0.2 6.0.3 CVE-2025-60157
wp-mpdf クロスサイトスクリプティング <= 3.9.1 3.9.2 CVE-2025-60040
Trust Reviews plugin for Google, Tripadvisor, Yelp, Airbnb and other platforms クロスサイトリクエストフォージェリ <= 1.0 CVE-2025-9899
VM Menu Reorder クロスサイトリクエストフォージェリ <= 1.0.0 CVE-2025-9893
Ninja Forms クロスサイトリクエストフォージェリ <= 3.12.0 3.12.1 CVE-2025-10498
Ninja Forms クロスサイトリクエストフォージェリ <= 3.12.0 3.12.1 CVE-2025-10499
Vehica Core クロスサイトリクエストフォージェリ <= 1.0.100 1.0.101 CVE-2025-60117
HidePost クロスサイトリクエストフォージェリ <= 2.3.8 CVE-2025-9896
CP Multi View Event Calendar Missing Authorization <= 1.4.32 CVE-2025-58009
Featured Image from URL SQLインジェクション <= 5.2.7 5.2.8 CVE-2025-10037
WP-DownloadManager 任意ファイルアップロード <= 1.68.11 1.69 CVE-2025-10747
Backuply – Backup, Restore, Migrate and Clone 任意ファイル削除 <= 1.4.8 1.4.9 CVE-2025-10307
TweetThis Shortcode クロスサイトスクリプティング <= 1.8.0 CVE-2025-10136
Markdown Shortcode クロスサイトスクリプティング <= 0.2.1 0.2.3 CVE-2025-10180
Popup Maker クロスサイトスクリプティング <= 1.20.6 1.21.0 CVE-2025-9490
Mapster WP Maps クロスサイトスクリプティング <= 1.20.0 1.21.0 CVE-2025-9044
Mega Elements クロスサイトスクリプティング <= 1.3.2 1.3.3 CVE-2025-8200
Widgets for Tiktok Feed クロスサイトスクリプティング <= 1.7.3 1.7.4 CVE-2025-8906
CM Business Directory クロスサイトスクリプティング <= 1.5.2 1.5.3 CVE-2025-10178
Zephyr Project Manager クロスサイトスクリプティング <= 3.3.202 3.3.203 CVE-2025-10490
Featured Image from URL (FIFU) Unauthenticated Information Exposure via Log File <= 5.2.7 5.2.8 CVE-2025-9985
Featured Image from URL Missing Authorization to Password Protected Post Disclosure vulnerability <= 5.2.7 5.2.8 CVE-2025-9984
Banhammer Unauthenticated Protection Mechanism Bypass vulnerability <= 3.4.8 3.4.9 CVE-2025-10745
Featured Image from URL (FIFU) SQLインジェクション <= 5.2.7 5.2.8 CVE-2025-10036
OAuth Single Sign On – SSO (OAuth Client) クロスサイトリクエストフォージェリ <= 6.26.12 6.26.13 CVE-2025-10752
System Dashboard クロスサイトリクエストフォージェリ <= 2.8.20 2.8.21 CVE-2025-10377
ShopEngine Insufficient Authorization to Authenticated (Editor+) Settings Update vulnerability <= 4.8.3 4.8.4 CVE-2025-10173
MultiLoca リモートコード実行 <= 4.2.8 4.2.9 CVE-2025-9054
Themify Builder クロスサイトスクリプティング <= 7.6.9 7.7.0 CVE-2025-9353
Mihdan: No External Links クロスサイトリクエストフォージェリ <= 5.1.6.2 5.1.7 CVE-2025-53451
Event Rocket アクセス制御の不備 <= 3.3 CVE-2025-53452
Request a Quote クロスサイトスクリプティング <= 2.5.0 2.5.1 CVE-2025-58915
WordPress クロスサイトスクリプティング <=6.8.2 6.8.3 CVE-2025-58674
SureForms クロスサイトスクリプティング < 1.9.1 1.9.1 CVE-2025-8282
WordPress 機密データ露出 <= 6.8.2 6.8.3 CVE-2025-58246
Uni CPO (Premium) 任意ファイルアップロード <= 4.9.54 4.9.55 CVE-2025-10412
Podlove Podcast Publisher 任意ファイルアップロード <= 4.2.6 4.2.7 CVE-2025-10147
WPCasa コードインジェクション <= 1.4.1 1.4.2 CVE-2025-9321
Advanced Views リモートコード実行 <= 3.7.19 3.7.20 CVE-2025-10380
Falang multilanguage for WordPress Unauthenticated PHP Object Injection <= 1.3.65 1.3.66 CVE-2025-58619
Etsy Shop クロスサイトスクリプティング < 3.0.7 3.0.7 CVE-2025-9115
WP Attractive Donations System クロスサイトリクエストフォージェリ < 1.29 1.29 CVE-2025-58956
Markup Markdown クロスサイトスクリプティング < 3.20.10 3.20.10 CVE-2025-9540
Admin and Site Enhancements (ASE) クロスサイトスクリプティング < 7.9.8 7.9.8 CVE-2025-9487
Widget Options – Extended クロスサイトスクリプティング <= 5.2.1 5.2.2 CVE-2025-8902
Fusion Page Builder : Extension – Gallery クロスサイトスクリプティング <= 1.7.6 1.7.7 CVE-2025-58965
WPComplete クロスサイトスクリプティング <= 2.9.5.2 2.9.5.3 CVE-2025-58974
Product Catalog Simple クロスサイトスクリプティング <= 1.8.2 1.8.3 CVE-2025-58992
GetResponse Forms クロスサイトスクリプティング <= 2.6.0 2.6.1 CVE-2025-59549
Save as PDF クロスサイトスクリプティング <= 4.5.2 4.5.3 CVE-2025-59552
Publitio サーバーサイドリクエストフォージェリ <= 2.2.1 2.2.2 CVE-2025-58962
Quantities and Units for WooCommerce クロスサイトスクリプティング <= 1.0.13 CVE-2025-58917
IP Based Login クロスサイトスクリプティング <= 2.4.3 2.4.4 CVE-2025-58960
Custom Login URL アクセス制御の不備 <= 1.0.2 1.0.3 CVE-2025-58969
VPSUForm アクセス制御の不備 <= 3.2.20 3.2.21 CVE-2025-58957
Revive.so アクセス制御の不備 <= 2.0.6 2.0.7 CVE-2025-59551
Miniorange OTP Verification with Firebase 権限昇格 3.1.0-3.6.2 3.6.3 CVE-2025-7665
Robcore Netatmo SQLインジェクション <= 1.7 CVE-2025-10652
ClickWhale SQLインジェクション <= 2.5.0 2.5.1 CVE-2025-10002
osTicket WP Bridge クロスサイトスクリプティング <= 1.9.2 CVE-2025-9882
Browser Sniff クロスサイトスクリプティング <= 2.3 CVE-2025-9883
SupportCandy 認証回避 <= 3.3.7 3.3.8 CVE-2025-10658
Draft List クロスサイトスクリプティング <= 2.6 2.6.1 CVE-2025-10181
Secure Passkeys Missing Authorization to Authenticated (Subscriber+) Passkey Exposure and Deletion vulnerability <= 1.2.1 1.2.2 CVE-2025-10305
Custom Login And Signup Widget クロスサイトリクエストフォージェリ <= 1.0 CVE-2025-9887
Internal Links Manager クロスサイトリクエストフォージェリ <= 3.0.1 3.0.2 CVE-2025-9949
SureForms Missing Authorization to Authenticated (Contributor+) Form Creation vulnerability <= 1.12.0 1.12.1 CVE-2025-10489
Embed PDF for WPForms 任意ファイルアップロード <= 1.1.5 1.1.6 CVE-2025-10647
Service Finder Booking 権限昇格 <= 6.0 CVE-2025-5948
Service Finder SMS System 認証回避 <= 2.0.0 CVE-2025-5955
Password Reset with Code for WordPress REST API Insecure Password Reset Code Creation vulnerability < 0.0.17 0.0.17 CVE-2025-5305
Download Manager クロスサイトスクリプティング <= 3.3.23 3.3.24 CVE-2025-10146
Kubio AI Page Builder Missing Authorization to Authenticated (Subscriber+) Limited Plugin Installation vulnerability <= 2.6.3 2.6.5 CVE-2025-8487
WP Hotel Booking Subscriber+ Rating Manipulation vulnerability < 2.2.3 2.2.3 CVE-2025-8942
Privacy Policy Generator, Terms & Conditions Generator WordPress Plugin : WP Legal Pages Missing Authorization to Authenticated (Contributor+) Arbitrary Plugin Installation <= 3.4.3 3.4.4 CVE-2025-8565
Ghost Kit クロスサイトスクリプティング <= 3.4.3 3.4.4 CVE-2025-9992
Chained Quiz 安全でない直接オブジェクト参照 <= 1.3.5 1.3.6 CVE-2025-10493
WP Ultimate CSV Importer リモートコード実行 7.20-7.28 7.29 CVE-2025-10057
Quiz Maker SQLインジェクション <= 6.7.0.56 6.7.0.57 CVE-2025-10042
StoreEngine 任意ファイルアップロード <= 1.5.0 1.5.1 CVE-2025-9216
WP Ultimate CSV Importer 任意ファイル削除 <= 7.27 7.28 CVE-2025-10058
Catch Dark Mode ローカルファイルインクルージョン <= 2.0 2.0.1 CVE-2025-10143
Developer Loggers for Simple History ローカルファイルインクルージョン <= 0.5 0.5.1 CVE-2025-10050
Media Player Addons for Elementor – Media Player widget for WP クロスサイトスクリプティング <= 1.0.5 1.0.6 CVE-2025-9203
StoreEngine 任意ファイルダウンロード <= 1.5.0 1.5.1 CVE-2025-9215
Blocksy Companion クロスサイトスクリプティング <= 2.1.10 2.1.11 CVE-2025-9565
Appointmind クロスサイトスクリプティング <= 4.1.0 4.2.0 CVE-2025-9851
Social Media Shortcodes クロスサイトスクリプティング <= 1.3.1 1.3.2 CVE-2025-10166
Productive Style クロスサイトスクリプティング <= 1.1.23 1.1.25 CVE-2025-8394
Memberlite Shortcodes クロスサイトスクリプティング <= 1.4 1.4.1 CVE-2025-10125
The Hack Repair Guy's クロスサイトリクエストフォージェリ <= 2.0.4 3.1.1 CVE-2025-10188
User Sync クロスサイトリクエストフォージェリ <= 1.0.2 1.0.3 CVE-2025-9891
USS Upyun クロスサイトリクエストフォージェリ <= 1.5.0 1.5.1 CVE-2025-9629
Blaze Demo Importer Missing Authorization to Authenticated (Subscriber+) Limited Plugin Install vulnerability <= 1.0.12 1.0.13 CVE-2025-8446
The Events Calendar 情報開示 <= 6.15.2 6.15.3 CVE-2025-9808
WP Mailgun SMTP Unauthenticated Information Exposure <= 1.1.8 CVE-2025-59003
The Hack Repair Guy's 任意ファイル削除 <= 2.0.4 3.1.1 CVE-2025-10176
Contact Form 7 reCAPTCHA クロスサイトスクリプティング <= 1.2.0 CVE-2025-8280
jQuery Colorbox クロスサイトスクリプティング <= 4.6.3 CVE-2025-3650
The Events Calendar SQLインジェクション <= 6.15.1 6.15.1.1 CVE-2025-9807
Time Tracker Missing Authorization to Authenticated (Subscriber+) Arbitrary Options Update and Limited Data Deletion vulnerability <= 3.1.0 3.2.0 CVE-2025-9018
Propovoice CRM Unauthenticated Arbitrary File Read vulnerability <= 1.7.6.7 1.7.7 CVE-2025-8422
LWS Cleaner 任意ファイル削除 <= 2.4.1.3 2.4.2 CVE-2025-8575
Ultimate Blogroll クロスサイトスクリプティング <= 2.5.2 CVE-2025-9881
Side Slide Responsive Menu クロスサイトスクリプティング <= 1.0 CVE-2025-9880
Spotify Embed Creator クロスサイトスクリプティング <= 1.0.5 CVE-2025-9879
Embed Google Datastudio クロスサイトスクリプティング <= 1.0.0 CVE-2025-9877
Enhanced BibliPlug クロスサイトスクリプティング <= 1.3.8 CVE-2025-9855
Countdown Timer for Elementor クロスサイトスクリプティング <= 1.3.9 CVE-2025-8445
eID Easy クロスサイトスクリプティング <= 4.9.3 CVE-2025-9128
Elements Plus! クロスサイトスクリプティング <= 2.16.4 CVE-2025-8689
My WP Translate Missing Authorization to Authenticated (Subscriber+) Arbitrary Options Update vulnerability <= 1.1 CVE-2025-8425
My WP Translate Authenticated (Subscriber+) Missing Authorization to Arbitrary Option Read and Deletion vulnerability <= 1.1 CVE-2025-8423
Wp Edit Password Protected – Create Member/User Only Page & Design Password Protected Form オープンリダイレクト < 1.3.5 1.3.5 CVE-2025-9034
LH Signing クロスサイトリクエストフォージェリ <= 2.83 CVE-2025-9633
Publish Approval クロスサイトリクエストフォージェリ <= 1.1 CVE-2025-9617
PhpList Subber クロスサイトリクエストフォージェリ <= 1.1 CVE-2025-9632
The integration of the AMO.CRM クロスサイトリクエストフォージェリ <= 1.0.1 CVE-2025-9628
Blog Designer For Elementor クロスサイトリクエストフォージェリ <= 1.1.7 CVE-2025-8481
Site Info Authenticated (Editor+) Information Exposure <= 1.1 CVE-2025-58866
Klarna Order Management for WooCommerce 情報開示 <= 1.9.8 1.9.9 CVE-2025-58598
BeyondCart Connector 権限昇格 <= 3.0.1 3.0.2 CVE-2025-8570
Catalog Importer, Scraper & Crawler コードインジェクション <= 5.1.4 CVE-2025-8417
User Meta – User Profile Builder and User management plugin 任意ファイル削除 <= 3.1.2 CVE-2025-9693
Ultimate Classified Listings ローカルファイルインクルージョン <= 1.6 CVE-2025-9874
All in one Minifier SQLインジェクション <= 3.2 CVE-2025-9073
Digital Events Calendar クロスサイトスクリプティング <= 1.0.8 CVE-2025-5801
CBX Map for Google Map & OpenStreetMap クロスサイトスクリプティング <= 1.1.12 CVE-2025-9123
ThemeLoom Widgets クロスサイトスクリプティング <= 1.8.5 CVE-2025-9861
Mixtape クロスサイトスクリプティング <= 1.1 CVE-2025-9860
WP Scriptcase クロスサイトスクリプティング <= 2.0.0 CVE-2025-8691
azurecurve BBCode クロスサイトスクリプティング <= 2.0.4 CVE-2025-8398
Workable Api クロスサイトスクリプティング <= 1.0.4 CVE-2025-8721
Seo Monster クロスサイトスクリプティング <= 3.3.3 CVE-2025-9620
Coupon API SQLインジェクション <= 6.2.9 CVE-2025-8692
AutoCatSet クロスサイトリクエストフォージェリ <= 2.1.4 CVE-2025-9631
Run Log クロスサイトリクエストフォージェリ <= 1.7.10 CVE-2025-9627
Admin in English with Switch クロスサイトリクエストフォージェリ <= 1.1 CVE-2025-9623
Ninja Forms Unauthenticated PHP Object Injection vulnerability < 3.11.1 3.11.1 CVE-2025-9083
Responsive Filterable Portfolio 任意ファイルアップロード <= 1.0.24 1.0.25 CVE-2025-10049
Compress Then Upload 任意ファイルアップロード < 1.0.5 1.0.5 CVE-2025-8889
Resideo 権限昇格 <= 2.5.4 CVE-2025-7718
WPGYM 権限昇格 <= 67.7.0 CVE-2025-7049
PeachPay Payments SQLインジェクション <= 1.117.5 1.117.6 CVE-2025-9463
IndiaNIC Testimonial SQLインジェクション <= 2.3 CVE-2025-7826
Duplicate Page and Post SQLインジェクション <= 2.9.5 CVE-2025-6189
WP Ultimate CSV Importer Missing Authorization to Authenticated (Subscriber+) FTP/SFTP Credential Exposure vulnerability <= 7.27 7.28 CVE-2025-10040
PagBank / PagSeguro Connect SQLインジェクション <= 4.44.3 4.44.4 CVE-2025-10142
WP All Import ファイルアップロード <= 3.9.3 3.9.4 CVE-2025-10001
Bulk Featured Image 任意ファイルアップロード <= 1.2.2 CVE-2025-58819
MyBrain Utilities クロスサイトスクリプティング <= 1.0.8 1.1.0 CVE-2025-10126
Heateor Login クロスサイトスクリプティング <= 1.1.9 1.1.10 CVE-2025-9857
PowerPack Addons for Elementor クロスサイトスクリプティング <= 2.9.4 2.9.5 CVE-2025-8388
Auto Save Remote Images (Drafts) サーバーサイドリクエストフォージェリ <= 1.0.9 CVE-2025-7843
ChatBot クロスサイトスクリプティング < 7.1.0 7.1.0 CVE-2025-9111
Welcart e-Commerce クロスサイトスクリプティング <= 2.11.20 2.11.21 CVE-2025-9367
NitroPack Missing Authorization to Authenticated (Subscriber+) Limited Settings Update via nitropack_set_compression_ajax Function vulnerability <= 1.18.4 1.18.5 CVE-2025-8778
WP Blast クロスサイトリクエストフォージェリ <= 1.8.6 1.8.7 CVE-2025-9622
Maspik – Spam blacklist クロスサイトリクエストフォージェリ <= 2.5.6 2.5.7 CVE-2025-9888
Maspik – Spam blacklist Authenticated (Subscriber+) Missing Authorization to Spam Log Export vulnerability <= 2.5.6 2.5.7 CVE-2025-9979
AutomatorWP リモートコード実行 <= 5.3.6 5.3.7 CVE-2025-9539
Ditty サーバーサイドリクエストフォージェリ < 3.1.58 3.1.58 CVE-2025-8085
Wilmer Core クロスサイトスクリプティング <= 2.4.5 2.4.6 CVE-2025-9061
Mikado Core クロスサイトスクリプティング <= 1.5.2 1.6 CVE-2025-9058
AutomatorWP Authenticated (Subscriber+) Missing Authorization to Multiple Functions vulnerability <= 5.3.7 5.3.8 CVE-2025-9542
WP-Members Authenticated (Subscriber+) Arbitrary Shortcode Execution via Profile Names vulnerability <= 3.5.4.2 3.5.4.3 CVE-2025-9489
UsersWP SQLインジェクション <= 1.2.44 1.2.45 CVE-2025-10003
Cloud SAML SSO – Single Sign On Login Missing Authorization to Unauthenticated Settings Modification via set_organization_settings Action vulnerability <= 1.0.19 1.0.20 CVE-2025-7040
ELEX WooCommerce Google Shopping Authenticated (Admin+) SQL Inejction vulnerability <= 1.4.3 1.4.4 CVE-2025-10046
User Registration SQLインジェクション <= 4.3.0 4.4.0 CVE-2025-9085
Multi Step Form 任意ファイルアップロード <= 1.7.25 1.7.26 CVE-2025-9515
Recent Posts Widget Extended クロスサイトスクリプティング <= 2.0.2 CVE-2025-6757
SKT Addons for Elementor クロスサイトスクリプティング <= 3.7 3.8 CVE-2025-8564
aThemes Addons for Elementor クロスサイトスクリプティング <= 1.1.2 1.1.3 CVE-2025-8149
Smart Table Builder クロスサイトスクリプティング <= 1.0.1 1.0.2 CVE-2025-9126
SW Kick Integration クロスサイトスクリプティング <= 1.1.5 1.1.6 CVE-2025-9442
Content Views クロスサイトスクリプティング <= 4.1 4.2 CVE-2025-8722
Cloud SAML SSO – Single Sign On Login Missing Authorization to Unauthenticated Identity Provider Deletion via delete_config Action vulnerability <= 1.0.19 1.0.20 CVE-2025-7045
Optio Dentistry クロスサイトスクリプティング <= 2.2 2.3 CVE-2025-9853
LA-Studio Element Kit for Elementor クロスサイトスクリプティング <= 1.5.5.1 1.5.5.2 CVE-2025-8360
Easy Social Feed クロスサイトスクリプティング <= 6.6.7 6.6.8 CVE-2025-6067
Html Social share buttons クロスサイトスクリプティング <= 2.1.16 2.2.0 CVE-2025-9849
Admin Menu Editor クロスサイトスクリプティング <= 1.14 1.14.1 CVE-2025-9493
Biagiotti Core クロスサイトスクリプティング <= 2.1.3 2.1.4 CVE-2025-9057
WordPress Helpdesk Integration ローカルファイルインクルージョン <= 5.8.10 CVE-2025-9990
Flatsome クロスサイトスクリプティング <= 3.20.0 3.20.1 CVE-2025-8684
PopAd クロスサイトリクエストフォージェリ <= 1.0.4 CVE-2025-9616
Drag and Drop File Upload for Elementor Forms 任意ファイルアップロード <= 1.5.3 1.5.4 CVE-2025-49387
Global DNS リモートコード実行 <= 3.1.0 3.1.1 CVE-2025-53577
Gutenify – Visual Site Builder Blocks & Site Templates. ローカルファイルインクルージョン <= 1.5.4 1.5.5 CVE-2025-53326
Poll, Survey & Quiz Maker Plugin by Opinion Stage ローカルファイルインクルージョン <= 19.11.0 19.11.1 CVE-2025-53328
WooCommerce csv import export 任意ファイル削除 <= 2.0.6 2.0.7 CVE-2025-54029
immonex Kickstart ローカルファイルインクルージョン <= 1.11.6 1.11.13 CVE-2025-58637
Event Booking Manager for WooCommerce – WpEvently Authenticated (Contributor+) PHP Object Injection <= 4.4.8 4.4.9 CVE-2025-54742
JS Archive List SQLインジェクション <= 6.1.5 6.1.6 CVE-2025-54726
Nest Addons SQLインジェクション <= 1.6.3 1.6.4 CVE-2025-54720
Premium Age Verification / Restriction for WordPress 任意ファイルダウンロード <= 3.0.2 CVE-2025-49403
Make Connector 任意ファイルアップロード <= 1.5.10 1.6.0 CVE-2025-6085
atec Debug 任意ファイル削除 <= 1.2.22 1.2.23 CVE-2025-9518
Easy Timer リモートコード実行 <= 4.2.1 4.2.2 CVE-2025-9519
atec Debug リモートコード実行 <= 1.2.22 1.2.23 CVE-2025-9517
Document Engine クロスサイトスクリプティング <= 1.2 1.3 CVE-2025-58640
Booking Ultra Pro クロスサイトスクリプティング <= 1.1.21 1.1.22 CVE-2025-58633
Dadevarzan WordPress Common クロスサイトスクリプティング <= 2.2.2 2.2.3 CVE-2025-58632
RumbleTalk Live Group Chat クロスサイトスクリプティング <= 6.3.5 6.3.6 CVE-2025-58626
AI Engine Missing Authorization to Unauthenticated Uploaded Files Disclosure And Deletion <= 2.9.5 2.9.6 CVE-2025-8268
IssueM クロスサイトスクリプティング <= 2.9.0 2.9.1 CVE-2025-58631
Simple Matomo Tracking Code クロスサイトスクリプティング <= 1.1.0 1.1.1 CVE-2025-58630
Exit Intent Popup サーバーサイドリクエストフォージェリ <= 1.0.1 1.0.3 CVE-2025-58641
Contact Form By Mega Forms アクセス制御の不備 <= 1.6.1 1.6.2 CVE-2025-58639
Support Genix アクセス制御の不備 <= 1.4.23 1.4.24 CVE-2025-58635
PeachPay Payments アクセス制御の不備 <= 1.117.4 1.117.5 CVE-2025-58634
atec Debug Authenticated (Administrator+) Arbitrary File Read <= 1.2.22 1.2.23 CVE-2025-9516
LTL Freight Quotes – TQL Edition WordPress LTL Freight Quotes – TQL Edition Plugin <= 1.2.6 – PHP Object Injection Vulnerability <= 1.2.6 1.2.7 CVE-2025-58644
LTL Freight Quotes – Daylight Edition PHP Object Injection Vulnerability <= 2.2.7 2.2.8 CVE-2025-58643
LTL Freight Quotes – Day & Ross Edition PHP Object Injection Vulnerability <= 2.1.11 2.1.12 CVE-2025-58642
Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder 6.1.1 – Authenticated (Subscriber+) PHP Object Injection To Arbitrary File Read 5.1.16 – 6.1.1 6.1.2 CVE-2025-9260
Vayu Blocks – Gutenberg Blocks for WordPress & WooCommerce クロスサイトスクリプティング <= 1.3.9 1.3.10 CVE-2025-9378
Amministrazione Trasparente クロスサイトスクリプティング <= 9.0 9.1 CVE-2025-5083
Post SMTP – WP SMTP Plugin with Email Logs and Mobile App for Failure Notifications – Gmail SMTP, Office 365, Brevo, Mailgun, Amazon SES and more Missing Authorization to Authenticated (Subscriber+) Limited Plugin Option Update <= 3.4.1 3.4.2 CVE-2025-9219

テーマ

名称 脆弱性の種類 対象ver. パッチ済ver. 重要度 CVE ID
soledad ローカルファイルインクルージョン <= 8.6.8 8.6.9 CVE-2025-59588
dricub-driving-school サーバーサイドリクエストフォージェリ <= 2.9 CVE-2025-58005
Snow Monkey サーバーサイドリクエストフォージェリ 29.1.5 29.1.6 CVE-2025-10137
leblix ローカルファイルインクルージョン <= 2.4 2.5 CVE-2025-58995
entrada クロスサイトリクエストフォージェリ <= 5.7.7 CVE-2025-58918
Sydney Missing Authorization to Authenticated (Subscriber+) Limited Theme Options Update vulnerability <= 2.56 2.57 CVE-2025-8999
Themia Lite 機密データ露出 <= 1.5.0 CVE-2025-59003
Goza 任意ファイルアップロード <= 3.2.2 3.2.3 CVE-2025-5394
Doccure 任意ファイルアップロード <= 1.4.8 CVE-2025-9113
Doccure 任意ファイルアップロード <= 1.4.8 CVE-2025-9112
Doccure Unauthenticated Arbitrary User Password Change vulnerability <= 1.4.8 CVE-2025-9114
Goza 任意ファイル削除 3.2.2 3.2.3 CVE-2025-10134
AdForest 認証回避 <= 6.0.9 6.0.10 CVE-2025-8359
Rehub Unauthenticated Arbitrary Shortcode Execution via re_filterpost vulnerability <= 19.9.7 19.9.8 CVE-2025-7366
Rehub Unauthenticated Password Protected Post Disclosure vulnerability <= 19.9.7 19.9.8 CVE-2025-7368
Flatsome クロスサイトスクリプティング <= 3.20.0 3.20.1 CVE-2025-8684
pin-wp 任意ファイルアップロード < 7.2 7.2 CVE-2025-53251
ireca ローカルファイルインクルージョン <= 1.8.5 1.8.6 CVE-2025-54716
neresa-wp ローカルファイルインクルージョン <= 1.3 1.4 CVE-2025-49383
houzez ローカルファイルインクルージョン <= 4.1.1 4.1.4 CVE-2025-49405
goza-theme 任意ファイルアップロード <= 3.2.2 3.2.3
cars4rent Unauthenticated PHP Object Injection <= 1.4.2

対応方法

  • パッチが提供されたバージョンはアップデートしましょう。
  • 特に重要度が高のものは確実にアップデートしておきましょう。

カテゴリ:
タグ:

WordPress × 0つまで
お問い合わせ
お申し込み