WordPress脆弱性情報:2025年10月分

2025年10月に確認されたWordPress関連の脆弱性情報です。プラグイン324件、テーマ17件、合計341件の脆弱性が報告されています。

2025年10月に確認されたWordPress関連の脆弱性情報です。

プラグイン324件、テーマ17件、合計341件の脆弱性が報告されています。

プラグイン

名称 脆弱性の種類 対象ver. パッチ済ver. 重要度 CVE ID
King Addons for Elementor – 4,000+ ready Elementor sections, 650+ templates, 70+ FREE widgets for Elementor 権限昇格 <= 51.1.14 51.1.35 CVE-2025-8489
WordPress User Extra Fields 任意ファイル削除 <= 16.7 16.8 CVE-2025-7846
WooCommerce Designer Pro Unauthenticated Arbitrary File Read <= 1.9.28 CVE-2025-10897
WPC Name Your Price for WooCommerce Unauthenticated Price Alteration <= 2.1.9 2.2.0 CVE-2025-12115
Zombify パストラバーサル <= 1.7.5 1.7.6 CVE-2025-8385
Qzzr Shortcode Plugin クロスサイトスクリプティング <= 1.0.1 CVE-2025-11806
NS Maintenance Mode for WP クロスサイトスクリプティング <= 1.3.1 CVE-2025-10636
AppPresser Missing Authorization to Unauthenticated Limited Sensitive Information Exposure vulnerability <= 4.5.0 4.5.1 CVE-2025-11881
Weglot Translate Missing Authorization to Unauthenticated Limited Transient Deletion vulnerability <= 5.1 5.2 CVE-2025-10008
ERI File Library Missing Authorization to Unauthenticated Protected File Download <= 1.1.0 1.1.1 CVE-2025-12041
Analytify Pro Unauthenticated Information Exposure <= 7.0.3 7.0.4 CVE-2025-12521
OOPSpam Anti-Spam: Spam Protection for WordPress Forms & Comments (No CAPTCHA) Unauthenticated IP Header Spoofing <= 1.2.53 1.2.54 CVE-2025-12094
Popup and Slider Builder by Depicter – Add Email collecting Popup, Popup Modal, Coupon Popup, Image Slider, Carousel Slider, Post Slider Carousel クロスサイトリクエストフォージェリ <= 4.0.4 4.0.5 CVE-2025-8383
FuseWP – WordPress User Sync to Email List & Marketing Automation (Mailchimp, Constant Contact, ActiveCampaign etc.) Missing Authorization to Authenticated (Subscriber+) Sync Rule Creation <= 1.1.23.0 1.1.23.1 CVE-2025-11975
The Events Calendar Missing Authorization to Authenticated (Subscriber+) Draft Event Title/QR Code Exposure <= 6.15.9 6.15.10 CVE-2025-12175
HAPPY – Helpdesk Support Ticket System リモートコード実行 <= 1.0.7 1.0.8 CVE-2025-49372
King Addons for Elementor – 4,000+ ready Elementor sections, 650+ templates, 70+ FREE widgets for Elementor 権限昇格 <= 51.1.36 51.1.37 CVE-2025-6325
King Addons for Elementor – 4,000+ ready Elementor sections, 650+ templates, 70+ FREE widgets for Elementor 任意ファイルアップロード <= 51.1.36 51.1.37 CVE-2025-6327
RTMKit 任意ファイルアップロード <= 1.6.5 1.6.6 CVE-2025-62065
Easy Testimonial Slider and Form SQLインジェクション <= 1.0.2 1.0.3 CVE-2015-10147
Thumbnail Slider With Lightbox SQLインジェクション <= 1.0.4 1.0.5 CVE-2015-10146
WPMobile.App クロスサイトスクリプティング <= 11.71 11.72 CVE-2025-62074
LiteSpeed Cache クロスサイトスクリプティング <= 7.5.0.1 7.6 CVE-2025-12450
Range Slider Addon for Gravity Forms クロスサイトスクリプティング <= 1.1.6 1.1.7 CVE-2025-49905
Site Checkup Unauthenticated Log File Poisoning vulnerability <= 1.47 1.48 CVE-2025-11627
WooCommerce クロスサイトスクリプティング <= 10.0.2 10.0.3 CVE-2025-49042
Doppler Forms Subscriber+ Limited Plugin Installation vulnerability < 2.6.0 2.6.0 CVE-2025-9544
WooCommerce Sensitive Information Exposure vulnerability <= 7.8.2 7.9.0 CVE-2023-7320
Facebook for WooCommerce アクセス制御の不備 <= 3.5.7 3.5.8 CVE-2025-64296
Popup box クロスサイトリクエストフォージェリ <= 5.5.4 5.5.5 CVE-2025-57931
IDonate – Blood Donation, Request And Donor Management System Missing Authorization < 2.1.13 2.1.13 CVE-2025-11154
Call Now Button Authenticated (Subscriber+) Missing Authorization to Multiple Functions vulnerability <= 1.5.4 1.5.5 CVE-2025-11632
Call Now Button Missing Authorization to Authenticated (Subscriber+) Limited Plugin Settings Update vulnerability <= 1.5.3 1.5.4 CVE-2025-11587
Barcode Scanner (+Mobile App) – Inventory manager, Order fulfillment system, POS (Point of Sale) ディレクトリトラバーサル <= 1.10.4 1.10.5 CVE-2025-58972
HUSKY SQLインジェクション <= 1.3.7.1 1.3.7.2 CVE-2025-11735
Anti-Malware Security and Brute-Force Firewall Missing Authorization to Authenticated (Subscriber+) Arbitrary File Read <= 4.23.81 4.23.83 CVE-2025-11705
Auto Featured Image (Auto Post Thumbnail) サーバーサイドリクエストフォージェリ <= 4.1.7 4.2.0 CVE-2025-10145
FuseWP – WordPress User Sync to Email List & Marketing Automation クロスサイトリクエストフォージェリ <= 1.1.23.0 1.1.23.1 CVE-2025-11976
Advanced Database Cleaner クロスサイトリクエストフォージェリ <= 3.1.6 3.1.7 CVE-2025-11497
Product Filter by WBW SQLインジェクション <= 2.9.7 2.9.8 CVE-2025-8416
WP Full Stripe Free SQLインジェクション <= 8.3.1 8.3.2 CVE-2025-9322
wpForo Forum SQLインジェクション <= 2.4.8 2.4.9 CVE-2025-4203
Simple Registration for WooCommerce クロスサイトリクエストフォージェリ <= 1.5.8 1.5.9 CVE-2025-12095
Charitable SQLインジェクション <= 1.8.8.4 1.8.8.5 CVE-2025-11893
Directorist Authenticated (Subscriber+) Arbitrary File Move vulnerability <= 8.4.8 8.4.9 CVE-2025-10488
Widget Options クロスサイトスクリプティング <= 4.1.2 4.1.3 CVE-2025-10580
SpendeOnline.org クロスサイトスクリプティング <= 3.0.1 3.0.2 CVE-2025-11875
Discussion Board Authenticated (Subscriber+) Arbitrary Shortcode Execution vulnerability <= 2.5.5 2.5.6 CVE-2025-8483
Product Filter by WBW Missing Authorization to Unauthenticated Settings Update vulnerability <= 3.0.0 3.0.1 CVE-2025-11269
Gutenberg Blocks クロスサイトスクリプティング <= 3.3.4 3.4.0 CVE-2025-8588
Testimonial Carousel For Elementor クロスサイトスクリプティング <= 11.6.2 11.7.0 CVE-2025-8666
Fast Velocity Minify クロスサイトスクリプティング <= 3.5.1 3.5.2 CVE-2025-12034
Password Policy Manager Missing Authorization to Authenticated (Subscriber+) Configuration Log Out vulnerability <= 2.0.5 2.0.6 CVE-2025-11255
Tutor LMS Pro 安全でない直接オブジェクト参照 <= 3.8.3 3.9.0 CVE-2025-6639
WP Social Feed Gallery Missing Authorization to Unauthenticated Information Exposure vulnerability <= 4.9.2 4.9.3 CVE-2025-10637
Tutor LMS Missing Authorization to Sensitive Information Exposure vulnerability <= 3.8.3 3.9.0 CVE-2025-6680
ShopEngine Incorrect Authorization to Authenticated (Editor+) License Status Update vulnerability <= 4.8.4 4.8.5 CVE-2025-11888
WooCommerce Designer Pro 任意ファイルアップロード <= 1.9.26 CVE-2025-6440
PixelYourSite – Your smart PIXEL (TAG) Manager ローカルファイルインクルージョン < 11.1.2 11.1.2 CVE-2025-10723
PopupKit サーバーサイドリクエストフォージェリ <= 2.1.4 2.1.5 CVE-2025-10861
Watu Quiz クロスサイトスクリプティング <= 3.4.4 3.4.5 CVE-2025-11238
GenerateBlocks Improper Authorization to Authenticated (Contributor+) Arbitrary Options Disclosure vulnerability <= 2.1.1 2.1.2 CVE-2025-11879
ShopLentor クロスサイトスクリプティング <= 3.2.4 3.2.5 CVE-2025-11823
Jeg Elementor Kit クロスサイトスクリプティング < 2.7.0 2.7.0 CVE-2025-9978
Orbit Fox by ThemeIsle サーバーサイドリクエストフォージェリ < 3.0.2 3.0.2 CVE-2025-10874
WP VR Improper Authorization to Authenticated (Contributor+) Plugin Settings Update vulnerability <= 8.5.41 8.5.42 CVE-2025-12005
BackWPup Missing Authorization to Sensitive Information Exposure vulnerability <= 5.5.0 5.5.1 CVE-2025-10579
User Feedback – Create Interactive Feedback Form, User Surveys, and Polls in Seconds 情報開示 <= 1.8.0 1.9.0 CVE-2025-10694
Tutor LMS – eLearning and online course solution Missing Authorization to Unauthenticated Payment Status Update <= 3.8.3 3.9.0 CVE-2025-11564
eRoom – Webinar & Meeting Plugin for Zoom, Google Meet, Microsoft Teams Unauthenticated Sensitive Information Exposure <= 1.5.6 1.5.7 CVE-2025-11760
AI Chatbot Free Models Unauthenticated CSV Injection vulnerability <= 1.6.5 1.6.6 CVE-2025-11576
Password Protected 認可回避 <= 2.7.11 2.7.12 CVE-2025-11244
Voice Feedback – Voice Recorder for Audio Feedback 権限昇格 <= 1.0.3 2.0.0 CVE-2025-62007
IndieAuth クロスサイトリクエストフォージェリ <= 4.5.4 4.5.5 CVE-2025-12028
RapidResult SQLインジェクション <= 1.2 CVE-2025-10748
Product Table For WooCommerce Authenticated (Contributor+) PHP Object Injection <= 1.2.4 1.2.5 CVE-2025-62008
Free Follow-Up Emails & Marketing Automation for WooCommerce – ShopMagic Unauthenticated Information Exposure <= 4.5.6 4.5.7 CVE-2025-59578
Quickcreator – AI Blog Writer Unauthenticated API Key Exposure vulnerability 0.0.9-0.1.17 CVE-2025-11504
AIO Forms 任意ファイルアップロード <= 1.3.15 CVE-2025-11889
Multi Item Responsive Slider クロスサイトスクリプティング <= 1.0 CVE-2025-11992
VNPAY Payment gateway クロスサイトスクリプティング <= 1.0.0 CVE-2025-12017
Real Cookie Banner: GDPR & ePrivacy Cookie Consent サーバーサイドリクエストフォージェリ <= 5.2.4 5.2.5 CVE-2025-12136
ZoloBlocks Missing Authorization to Unauthenticated Popup Enable/Disable vulnerability <= 2.3.11 2.3.12 CVE-2025-12134
Time Clock クロスサイトスクリプティング <= 1.3.1 1.3.2 CVE-2025-10701
Simple Excel Pricelist for WooCommerce クロスサイトスクリプティング <= 1.13 CVE-2025-12096
Bold Page Builder クロスサイトスクリプティング <= 5.4.5 5.4.6 CVE-2025-7730
URL Shortener Plugin For WordPress Missing Authorization to Authenticated (Subscriber+) Link Manipulation <= 3.0.7 CVE-2025-10740
qnotsquiz クロスサイトスクリプティング <= 1.0.0 CVE-2025-12016
Microsoft Azure Storage for WordPress Missing Authorization to Authenticated (Subscriber+) Arbitrary Media Deletion vulnerability <= 4.5.1 CVE-2025-10749
NGINX Cache Optimizer Missing Authorization to Authenticated (Subscriber+) Dynamic Caching Exclusion Update vulnerability <= 1.1 CVE-2025-12014
Check Plagiarism Missing Authorization to Authenticated (Subscriber+) Settings Update vulnerability <= 2.0 CVE-2025-11172
LLM Hubspot Blog Import Missing Authorization to Authenticated (Subscriber+) Hubspot Import vulnerability <= 1.0.1 CVE-2025-11257
Originality.ai AI Checker Missing Authorization to Authenticated (Subscriber+) Scan Log Deletion via ' ai_scan_result_remove' vulnerability <= 1.0.12 CVE-2025-10902
Disable Content Editor For Specific Template クロスサイトリクエストフォージェリ <= 2.0 CVE-2025-12072
Supervisor Missing Authorization to Authenticated (Subscriber+) Settings Update vulnerability <= 1.3.2 1.3.3 CVE-2025-11887
Originality.ai AI Checker 情報開示 <= 1.0.12 CVE-2025-10901
Academy LMS Pro 権限昇格 <= 3.3.7 3.3.8 CVE-2025-11086
NS Maintenance Mode for WP Unauthenticated Subscribers Export vulnerability <= 1.3.1 CVE-2025-10638
Houzez Theme – Functionality ローカルファイルインクルージョン <= 4.1.8 4.2.0 CVE-2025-62054
Beaver Builder Plugin (Starter Version) クロスサイトスクリプティング <= 2.9.2.1 2.9.3.1 CVE-2025-8427
MxChat – AI Chatbot for WordPress サーバーサイドリクエストフォージェリ <= 2.4.6 2.4.7 CVE-2025-10705
RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator サーバーサイドリクエストフォージェリ <= 5.1.0 5.1.1 CVE-2025-11128
Meta Tag Manager オープンリダイレクト < 3.3 3.3 CVE-2025-5983
Oboxmedia Ads クロスサイトスクリプティング <= 1.9.8 CVE-2025-11827
WP Responsive Meet The Team クロスサイトスクリプティング <= 1.0.1 CVE-2025-11818
Photographers galleries クロスサイトスクリプティング <= 1.1.8 CVE-2025-11866
Material Design Iconic Font Integration クロスサイトスクリプティング <= 2 CVE-2025-11872
Responsive iframe GoogleMap クロスサイトスクリプティング <= 1.0.2 CVE-2025-11813
Bg Book Publisher クロスサイトスクリプティング <= 1.25 CVE-2025-11867
Simple Youtube Shortcode クロスサイトスクリプティング <= 1.1.3 CVE-2025-11811
Simple Business Data クロスサイトスクリプティング <= 1.0.1 CVE-2025-11870
This-or-That クロスサイトスクリプティング <= 1.0.4 CVE-2025-10138
JB News Ticker クロスサイトスクリプティング <= 1.0 CVE-2025-11804
WP Restaurant Listings クロスサイトスクリプティング <= 1.0.2 CVE-2025-11830
WP-Thumbnail クロスサイトスクリプティング <= 1.1 CVE-2025-11819
Playerzbr クロスサイトスクリプティング <= 1.6 CVE-2025-11825
Email Tracker – Email Log, Email Open Tracking, Email Analytics & Email Management for WordPress Emails SQLインジェクション <= 5.3.12 CVE-2025-10047
Responsive Progress Bar クロスサイトスクリプティング <= 1.0 CVE-2025-11883
Simple Tableau Viz クロスサイトスクリプティング <= 2.0 CVE-2025-11817
Mixlr Shortcode クロスサイトスクリプティング <= 1.0.1 CVE-2025-11807
SM CountDown Widget クロスサイトスクリプティング <= 1.2 CVE-2025-11880
Cinza Grid クロスサイトスクリプティング <= 1.2.1 1.2.2 CVE-2025-11824
Print Button Shortcode クロスサイトスクリプティング <= 1.0.1 CVE-2025-11810
All in One Time Clock Lite 安全でない直接オブジェクト参照 <= 2.0 2.0.1 CVE-2025-6833
Element Pack Elementor Addons サーバーサイドリクエストフォージェリ <= 8.2.5 8.2.6 CVE-2025-11536
PPOM for WooCommerce 任意ファイルアップロード <= 33.0.15 33.0.16 CVE-2025-11391
PPOM for WooCommerce SQLインジェクション <= 33.0.15 33.0.16 CVE-2025-11691
Theme Editor クロスサイトリクエストフォージェリ <= 3.0 3.1 CVE-2025-9890
GSpeech TTS SQLインジェクション <= 3.17.3 3.18.0 CVE-2025-10187
Event Tickets Unauthenticated Ticket Payment Bypass vulnerability <= 5.26.5 5.26.6 CVE-2025-11517
LearnPress Missing Authorization to Unauthenticated Database Table Manipulation vulnerability <= 4.2.9.3 4.2.9.4 CVE-2025-11372
Essential Blocks for Gutenberg クロスサイトスクリプティング <= 5.7.1 5.7.2 CVE-2025-11270
WPBakery Page Builder クロスサイトスクリプティング <= 8.6 8.7 CVE-2025-10006
Redirection for Contact Form 7 クロスサイトスクリプティング <= 3.2.6 3.2.7 CVE-2025-9562
XX2WP Integration Tools クロスサイトスクリプティング <= 1.9.9 2.0.0 CVE-2025-11857
Related Posts Lite クロスサイトスクリプティング <= 1.12 CVE-2025-11926
Essential Blocks for Gutenberg サーバーサイドリクエストフォージェリ <= 5.7.1 5.7.2 CVE-2025-11361
Kognetiks Chatbot for WordPress ファイルアップロード <= 2.3.5 2.3.6 CVE-2025-11256
PowerBI Embed Reports 情報開示 <= 1.2.0 1.2.1 CVE-2025-10750
WPC Smart Quick View for WooCommerce 安全でない直接オブジェクト参照 <= 4.2.5 4.2.6 CVE-2025-11741
WP Go Maps Unauthenticated Cache Poisoning vulnerability <= 9.0.48 9.0.49 CVE-2025-11703
Media Library Assistant Unauthenticated Limited File Read vulnerability <= 3.29 3.30 CVE-2025-11738
Filebird Improper Authorization to Authenticated (Author+) Settings Reset vulnerability <= 6.4.9 6.5.0 CVE-2025-11510
Optimole 安全でない直接オブジェクト参照 <= 4.1.0 4.1.1 CVE-2025-11519
WPC Smart Wishlist for WooCommerce Missing Authorization to Authenticated (Subscriber+) Information Exposure vulnerability <= 5.0.4 5.0.5 CVE-2025-11742
SUMO Memberships for WooCommerce クロスサイトリクエストフォージェリ < 7.8.0 7.8.0 CVE-2025-62005
Memberlite Shortcodes クロスサイトスクリプティング <= 1.4.1 CVE-2025-48087
ShortPixel Image Optimizer Authenticated (Contributor+) Settings Import/Export vulnerability <= 6.3.4 6.3.5 CVE-2025-11378
Booking Manager Contributor+ Booking Deletion vulnerability < 2.1.15 2.1.15 CVE-2025-10124
WP Private Content Plus Password Protection Bypass vulnerability <= 3.6.2 CVE-2025-10720
Binary MLM Plan 安全でない直接オブジェクト参照 <= 3.0 CVE-2025-11895
Ally クロスサイトリクエストフォージェリ <= 3.8.0 3.8.1 CVE-2025-10700
Felan Framework Hardcoded Credentials vulnerability <= 1.1.4 1.1.5 CVE-2025-10850
Truelysell Core Unauthenticated Arbitrary User Password Change vulnerability <= 1.8.6 CVE-2025-10742
Orion SMS OTP Verification 認証回避 <= 1.1.7 CVE-2025-9967
WPBifröst – Instant Passwordless Temporary Login Links 権限昇格 <= 1.0.7 1.0.8 CVE-2025-10299
External Login SQLインジェクション <= 1.11.2 CVE-2025-11177
ClassifiedPro Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Installation vulnerability <= 1.0.14 CVE-2025-10706
Keyy Two Factor Authentication (like Clef) 権限昇格 <= 1.2.3 CVE-2025-10293
WP jQuery Pager SQLインジェクション <= 1.4.0 CVE-2025-10575
WP Dashboard Chat SQLインジェクション <= 1.0.3 CVE-2025-10660
TARIFFUXX SQLインジェクション <= 1.4 CVE-2025-10682
BlindMatrix e-Commerce ローカルファイルインクルージョン < 3.1 3.1 CVE-2025-10406
Woocommerce Category and Products Accordion Panel ローカルファイルインクルージョン <= 1.0 CVE-2025-11722
DocoDoco Store Locator 任意ファイルアップロード <= 1.0.1 CVE-2025-10754
Find And Replace content for WordPress クロスサイトスクリプティング <= 1.1 CVE-2025-10313
Digiseller クロスサイトスクリプティング <= 1.3.0 CVE-2025-10141
WP BookWidgets クロスサイトスクリプティング <= 0.9 0.10 CVE-2025-10139
Library Management System Missing Authorization to Authenticated (Subscriber+) Settings Manipulation vulnerability <= 3.1 3.2 CVE-2025-10303
Felan Framework Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Activation/Deactivation via process_plugin_actions vulnerability <= 1.1.4 1.1.5 CVE-2025-10849
Content Writer Unauthenticated Information Exposure via Log File vulnerability <= 3.6.8 3.6.9 CVE-2025-10486
External Login 機密データ露出 <= 1.11.2 CVE-2025-11196
Flex QR Code Generator 任意ファイルアップロード <= 1.2.5 1.2.6 CVE-2025-10041
OwnID Passwordless Login 認証回避 <= 1.3.4 CVE-2025-10294
Dynamically Display Posts SQLインジェクション <= 1.1 CVE-2025-11501
WP Google Map SQLインジェクション <= 1.0 CVE-2025-11365
onOffice for WP-Websites SQLインジェクション <= 5.7 CVE-2025-10045
Outdoor SQLインジェクション <= 1.3.2 CVE-2025-10743
Lisfinity Core – Lisfinity Core plugin used for pebas® Lisfinity WordPress theme 権限昇格 <= 1.4.0 1.5.0 CVE-2025-6042
Demo Import Kit 任意ファイルアップロード <= 1.1.0 CVE-2025-10051
Dhivehi Text クロスサイトスクリプティング <= 0.1 CVE-2025-10132
URLYar URL Shortner クロスサイトスクリプティング <= 1.1.0 CVE-2025-10133
Shortcode Button クロスサイトスクリプティング <= 1.1.9 CVE-2025-10194
Quick Social Login クロスサイトスクリプティング <= 1.4.6 CVE-2025-10140
WPBakery Page Builder クロスサイトスクリプティング <= 8.6.1 8.7 CVE-2025-11160
WPBakery Page Builder クロスサイトスクリプティング <= 8.6.1 8.7 CVE-2025-11161
Binary MLM Plan 権限昇格 <= 3.0 CVE-2025-10038
Wp tabber widget SQLインジェクション <= 4.0 CVE-2025-10730
Oceanpayment CreditCard Gateway Missing Authentication to Unauthenticated Order Status Update vulnerability <= 6.0 CVE-2025-11728
Zip Attachments Missing Authorization to Unauthenticated Private And Password-Protected Posts Attachment Disclosure vulnerability <= 1.6 CVE-2025-11701
Zip Attachments Missing Authorization to Limited File Deletion vulnerability <= 1.6 CVE-2025-11692
YourMembership Single Sign On – YM SSO Login Missing Authorization to Unauthenticated Sensitive Information Exposure via 'moym_display_test_attributes' <= 1.1.7 CVE-2025-10648
WhyDonate – FREE Donate button – Crowdfunding – Fundraising Missing Authorization to Unauthenticated wp_wdplugin_style Rww Deletion <= 4.0.15 4.0.16 CVE-2025-10186
Rich Snippet Site Report SQLインジェクション <= 2.0.0105 CVE-2025-10310
Task Scheduler サーバーサイドリクエストフォージェリ <= 1.6.3 CVE-2025-10056
Theme Importer クロスサイトリクエストフォージェリ <= 1.0 CVE-2025-10312
FunKItools クロスサイトリクエストフォージェリ <= 1.0.2 CVE-2025-10301
TopBar クロスサイトリクエストフォージェリ <= 1.0.0 CVE-2025-10300
Gravity Forms Google Sheet Connector Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Installation vulnerability <= 1.3.27 1.3.28 CVE-2025-8593
WooCommerce Designer Pro 任意ファイル削除 <= 1.9.26 CVE-2025-6439
Custom 404 Pro SQLインジェクション <= 3.12.0 CVE-2025-9947
Colibri Page Builder クロスサイトスクリプティング <= 1.0.334 1.0.335 CVE-2025-9560
Stock History & Reports Manager for WooCommerce クロスサイトスクリプティング <= 2.2.1 2.2.3 CVE-2025-10167
WP Easy Toggles クロスサイトスクリプティング <= 1.9.0 CVE-2025-10190
WordPress Live Webcam Widget & Shortcode クロスサイトスクリプティング <= 1.2 CVE-2025-10129
The Plus Addons for Elementor Page Builder Lite クロスサイトスクリプティング < 6.3.16 6.3.16 CVE-2025-9698
TwentyFourth WP Scraper サーバーサイドリクエストフォージェリ <= 5.8.1 CVE-2025-9975
Web Accessibility By accessiBe クロスサイトリクエストフォージェリ <= 2.10 2.11 CVE-2025-10375
Course Redirects for Learndash クロスサイトリクエストフォージェリ <= 0.4 CVE-2025-10376
Code Quality Control Tool Unauthenticated Information Exposure via Log Files vulnerability <= 0.1 CVE-2025-8484
Error Log Viewer by BestWebSoft Authenticated (Administrator+) Arbitrary File Read vulnerability <= 1.1.6 1.1.7 CVE-2025-9950
SureForms – Drag and Drop Contact Form Builder – Multi-step Forms, Conversational Forms and more 情報開示 <= 1.12.1 1.12.2 CVE-2025-10732
Gravity Forms Google Sheet Connector クロスサイトリクエストフォージェリ <= 1.3.23 1.3.24 CVE-2025-8606
WidgetPack Comment System クロスサイトリクエストフォージェリ <= 1.6.1 CVE-2025-9621
Page Blocks クロスサイトリクエストフォージェリ <= 1.1.0 CVE-2025-9626
Ultimate Addons for WPBakery Page Builder クロスサイトスクリプティング < 3.21.1 3.21.1 CVE-2025-48088
WP Gmail SMTP 機密データ露出 <= 1.0.7 CVE-2025-53232
Survey Maker クロスサイトスクリプティング <= 5.1.8.8 5.1.8.9 CVE-2025-48095
AppExperts 機密データ露出 <= 1.4.5 CVE-2025-53218
All In One Login Bypass Vulnerability vulnerability <= 2.0.8 2.0.9 CVE-2025-58595
Ovatheme Events Manager 任意ファイルアップロード <= 1.8.5 1.8.6 CVE-2025-6553
WP Freeio 権限昇格 <= 1.2.21 1.2.22 CVE-2025-11533
NEX-Forms SQLインジェクション <= 9.1.6 9.1.7 CVE-2025-10185
My auctions allegro SQLインジェクション <= 3.6.31 3.6.32 CVE-2025-10048
Easy クロスサイトスクリプティング <= 2.0.1 CVE-2025-7652
Enable Media Replace クロスサイトスクリプティング <= 4.1.6 4.1.7 CVE-2025-9496
Draft List クロスサイトスクリプティング <= 2.6.1 2.6.2 CVE-2025-11197
WP Links Page SQLインジェクション <= 4.9.6 CVE-2025-10175
Everest Backup Missing Authorization to Unauthenticated Information Exposure vulnerability <= 2.3.5 2.3.6 CVE-2025-11380
WPC Smart Wishlist for WooCommerce 安全でない直接オブジェクト参照 <= 5.0.3 5.0.4 CVE-2025-11518
Trinity Audio Unauthenticated Information Exposure vulnerability <= 5.21.0 5.22.0 CVE-2025-9196
CM Registration and Invitation Codes オープンリダイレクト <= 2.5.6 2.5.7 CVE-2025-11167
Contest Gallery Unauthenticated CSV Injection vulnerability <= 27.0.3 28.0.0 CVE-2025-11254
WP JobHunt クロスサイトスクリプティング <= 7.6 7.7 CVE-2025-7781
Slider Revolution Missing Authorization to Authenticated (Contributor+) Arbitrary File Read vulnerability <= 6.7.37 6.7.38 CVE-2025-10249
WP JobHunt 認可回避 <= 7.6 7.7 CVE-2025-7374
Search & Filter クロスサイトリクエストフォージェリ <= 1.2.17 1.2.18 CVE-2025-48099
WP Travel Engine – Tour Booking Plugin – Tour Operator Software ローカルファイルインクルージョン <= 6.6.7 6.6.8 CVE-2025-7634
WP Travel Engine – Tour Booking Plugin – Tour Operator Software 任意ファイル削除 <= 6.6.7 6.6.8 CVE-2025-7526
Community Events SQLインジェクション <= 1.5.1 1.5.2 CVE-2025-10586
PopupKit SQLインジェクション <= 2.1.3 2.1.4 CVE-2025-10862
Lisfinity Core – Lisfinity Core plugin used for pebas® Lisfinity WordPress theme 権限昇格 <= 1.4.0 1.5.0 CVE-2025-6038
Find Me On SQLインジェクション <= 2.0.9.1 CVE-2025-10635
Welcart e-Commerce SQLインジェクション <= 2.11.21 2.11.22 CVE-2025-10649
Cookie Notice & Consent クロスサイトスクリプティング <= 1.6.5 1.6.6 CVE-2025-10496
WP Go Maps (formerly WP Google Maps) クロスサイトリクエストフォージェリ <= 9.0.46 9.0.47 CVE-2025-11166
Service Finder Booking 認証回避 <= 6.0 6.1 CVE-2025-5947
Community Events SQLインジェクション <= 1.5.1 1.5.2 CVE-2025-10587
Motors 任意ファイル削除 <= 1.4.89 1.4.90 CVE-2025-10494
RegistrationMagic SQLインジェクション <= 6.0.6.2 6.0.6.3 CVE-2025-11204
OrderConvo Unauthenticated Arbitrary File Read vulnerability < 14 14 CVE-2025-10162
Chartify Missing Authentication for Administrative Function vulnerability <= 3.5.9 3.6.0 CVE-2025-11171
Progress Planner Missing Authorization to Authenticated (Subscriber+) Arbitrary Options Update <= 1.8.0 1.8.1 CVE-2025-48082
Responsive Lightbox クロスサイトスクリプティング < 2.5.3 2.5.3 CVE-2025-9710
Featured Image from URL クロスサイトスクリプティング <= 5.2.7 5.2.8 CVE-2025-7400
Blocksy Companion クロスサイトスクリプティング <= 2.1.14 2.1.15 CVE-2025-12475
Ultimate Addons for Elementor – Lite クロスサイトスクリプティング < 2.5.0 2.5.0 CVE-2025-9703
WP Reset Unauthenticated Sensitive Information Exposure via wf-licensing.log vulnerability <= 2.05 2.06 CVE-2025-10645
OAuth Single Sign On – SSO (OAuth Client) リモートコード実行 <= 6.26.12 6.26.13 CVE-2025-9485
Appy Pie Connect for WooCommerce 権限昇格 <= 1.1.2 1.1.3 CVE-2025-9286
Cost Calculator Builder Authenticated (Subscriber+) Missing Authorization via get_cc_orders/update_order_status Functions <= 3.5.32 3.5.33 CVE-2025-9243
Trinity Audio クロスサイトスクリプティング <= 5.20.2 5.21.0 CVE-2025-9952
Integrate Dynamics 365 CRM Missing Authorization <= 1.0.9 1.1.0 CVE-2025-10746
GiveWP – Donation Plugin and Fundraising Platform Missing Authorization to Unauthenticated Forms and Campaigns Disclosure <= 4.10.0 4.10.1 CVE-2025-11227
Majestic Before After Image クロスサイトスクリプティング <= 2.0.2 2.0.3 CVE-2025-9030
WP Photo Album Plus クロスサイトスクリプティング <= 9.0.11.006 9.0.11.007 CVE-2025-8726
TicketSpot クロスサイトスクリプティング <= 1.0.2 1.0.3 CVE-2025-9875
Simple Multilanguage クロスサイトスクリプティング <= 1.0 CVE-2025-9854
Unify クロスサイトスクリプティング <= 3.4.7 3.4.8 CVE-2025-9130
Contest Gallery – Upload, Vote & Sell with PayPal and Stripe クロスサイトスクリプティング <= 27.0.2 27.0.3 CVE-2025-10383
SiteAlert (Formerly WP Health) Missing Authorization to Unauthenticated Site Health Information Exposure vulnerability <= 1.9.8 CVE-2025-10212
GiveWP – Donation Plugin and Fundraising Platform Missing Authorization to Unauthenticated Forms-Campaign Association <= 4.10.0 4.10.1 CVE-2025-11228
Backup Bolt 任意ファイルダウンロード <= 1.4.1 1.5.0 CVE-2025-10306
Ultimate Viral Quiz クロスサイトリクエストフォージェリ <= 1.0 CVE-2025-10302
WDesignKit – Elementor & Gutenberg Starter Templates, Patterns, Cloud Workspace & Widget Builder Missing Authentication via wdkit_handle_review_submission Function <= 1.2.16 1.2.17 CVE-2025-9029
Trinity Audio – Text to Speech AI audio player to convert content into audio クロスサイトリクエストフォージェリ <= 5.20.2 5.21.0 CVE-2025-9886
WP SinoType クロスサイトリクエストフォージェリ <= 1.0 CVE-2025-9630
JoomSport – for Sports: Team & League, Football, Hockey & more ローカルファイルインクルージョン <= 5.7.3 5.7.4 CVE-2025-7721
RestroPress – Online Food Ordering System 認証回避 3.0.0 – 3.1.9.2 CVE-2025-9209
Spirit Framework 認証回避 <= 1.2.14 1.2.15 CVE-2025-6388
Ajax WooSearch SQLインジェクション <= 1.0.0 CVE-2025-9697
CTL Behance Importer Lite SQLインジェクション <= 1.0 CVE-2025-9587
Blappsta Mobile App SQLインジェクション <= 0.8.8.8 CVE-2025-9200
WPRecovery SQLインジェクション <= 2.0 CVE-2025-10726
WP Dispatcher SQLインジェクション <= 1.2.0 CVE-2025-10582
TextBuilder クロスサイトリクエストフォージェリ 1.0.0 – 1.1.1 1.2.0 CVE-2025-9213
AP Background 任意ファイルアップロード 3.8.1 – 3.8.2 CVE-2025-9561
WP Dispatcher 任意ファイルアップロード <= 1.2.0 CVE-2025-9212
Epic Bootstrap Buttons クロスサイトスクリプティング <= 1.0 CVE-2025-8776
Woo superb slideshow transition gallery with random effect SQLインジェクション <= 9.1 CVE-2025-9199
Wp cycle text announcement SQLインジェクション <= 8.1 CVE-2025-9198
X Addons for Elementor クロスサイトスクリプティング <= 1.0.16 1.0.17 CVE-2025-9204
Meks Easy Maps クロスサイトスクリプティング <= 2.1.4 CVE-2025-9206
Easy Elementor Addons – Addons Pack for Elementor Page Builder クロスサイトスクリプティング <= 2.2.8 CVE-2025-9045
Ird Slider クロスサイトスクリプティング <= 1.0.2 CVE-2025-9876
Flexi – Guest Submit クロスサイトスクリプティング <= 4.28 CVE-2025-9129
Ultra Addons Lite for Elementor クロスサイトスクリプティング <= 1.1.9 1.2.0 CVE-2025-9077
Fintelligence Calculator クロスサイトスクリプティング <= 1.0.3 CVE-2025-9859
WordPress Schema Authenticated (Contributor+) Object Instantiation vulnerability <= 4.3.2 CVE-2025-7825
Mobile Site Redirect クロスサイトスクリプティング <= 1.2.1 CVE-2025-9884
Smart Docs クロスサイトスクリプティング <= 1.1.1 CVE-2025-9333
Ultimate Multi Design Video Carousel クロスサイトスクリプティング <= 1.4 CVE-2025-9372
Restrict User Registration クロスサイトリクエストフォージェリ <= 1.0.1 CVE-2025-9892
TableGen – Data Table Generator クロスサイトスクリプティング <= 1.3.1 CVE-2025-10053
PayPal Forms クロスサイトリクエストフォージェリ <= 1.0.3 CVE-2025-10309
Notification Bar クロスサイトリクエストフォージェリ <= 2.2 CVE-2025-9895
Optimize More! – CSS クロスサイトリクエストフォージェリ <= 1.0.3 CVE-2025-9945
ContentMX Content Publisher クロスサイトリクエストフォージェリ <= 1.0.6 1.0.7 CVE-2025-9889
Comment Info Detector クロスサイトリクエストフォージェリ <= 1.0.5 CVE-2025-10311
Custom Searchable Data Entry System Unauthenticated Database Wiping vulnerability <= 1.7.1 CVE-2020-36852
Schema & Structured Data for WP & AMP クロスサイトスクリプティング < 1.50 1.50 CVE-2025-9512
Advanced Settings 3 任意ファイルアップロード <= 3.1.1 3.2.0 CVE-2025-58996
Translate Multilingual sites – TranslatePress Unauthenticated PHP Object Injection <= 2.10.2 2.10.3 CVE-2025-58592
tf-woo-product-grid Unauthenticated PHP Object Injection <= 1.0.1 CVE-2025-59007
Sign-up Sheets Unauthenticated PHP Object Injection <= 2.3.2 2.3.3 CVE-2025-49393
Silencesoft RSS Reader サーバーサイドリクエストフォージェリ <= 0.6 CVE-2025-60181
ZoloBlocks – Gutenberg Block Editor Plugin with Advanced Blocks, Dynamic Content, Templates & Patterns Unauthenticated Sever-Side Request Forgery <= 2.3.11 2.3.12 CVE-2025-60161
YayCurrency – WooCommerce Multi-Currency Switcher リモートコード実行 <= 3.2 CVE-2025-60114
LockerPress クロスサイトスクリプティング <= 1.0 CVE-2025-9946
ZoloBlocks クロスサイトスクリプティング <= 2.3.10 2.3.11 CVE-2025-9075
MailChimp Block サーバーサイドリクエストフォージェリ <= 1.1.12 1.1.13 CVE-2025-10735
File Manager, Code Editor, and Backup by Managefy Unauthenticated Information Exposure vulnerability <= 1.6.1 1.6.2 CVE-2025-10744
Blocksy Companion クロスサイトスクリプティング <= 2.1.14 2.1.15
Houzez Theme – Functionality 任意ファイルダウンロード <= 4.1.2 4.1.4

テーマ

名称 脆弱性の種類 対象ver. パッチ済ver. 重要度 CVE ID
noo-jobmonster 認証回避 <= 4.8.1 4.8.2 CVE-2025-5397
savory ローカルファイルインクルージョン <= 2.5 2.6 CVE-2025-62067
revolution ローカルファイルインクルージョン < 2.5.8 2.5.8 CVE-2025-62066
Sahifa クロスサイトスクリプティング < 5.8.6 5.8.6 CVE-2025-64202
wpresidence アクセス制御の不備 <= 5.3.2 5.3.2.1 CVE-2025-64199
The7 クロスサイトスクリプティング <= 12.9.1 12.9.2 CVE-2025-11897
Listeo クロスサイトスクリプティング <= 2.0.8 2.0.9 CVE-2025-8413
ClassifiedPro Missing Authorization to Authenticated (Subscriber+) Arbitrary plugin Installation vulnerability <= 1.0.14 CVE-2025-10706
felan-framework Hardcoded Credentials <= 1.1.4 1.1.5 CVE-2025-10850
felan-framework Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Activation/Deactivation via process_plugin_actions <= 1.1.4 1.1.5 CVE-2025-10849
xstore ローカルファイルインクルージョン <= 9.5.4 9.6 CVE-2025-11746
Rich Snippet Site Report SQLインジェクション <= 2.0.0105 CVE-2025-10310
Newsup Missing Authorization to Authenticated (Subscriber+) Plugin Installation vulnerability <= 5.0.10 5.0.11 CVE-2025-8682
search-and-go 認証回避 <= 2.7 2.8 CVE-2025-11522
Betheme クロスサイトスクリプティング <= 28.1.6 28.1.7 CVE-2025-9371
Constructor Missing Authorization to Authenticated (Subscriber+) Theme Clean vulnerability <= 1.6.5 CVE-2025-9194
Customify クロスサイトリクエストフォージェリ <= 0.4.11 0.4.12 CVE-2025-8669

対応方法

  • パッチが提供されたバージョンはアップデートしましょう。
  • 特に重要度が高のものは確実にアップデートしておきましょう。

カテゴリ:
タグ:

WordPress × 0つまで
お問い合わせ
お申し込み