WordPress脆弱性情報:2026年02月分

2026年02月に確認されたWordPress関連の脆弱性情報です。プラグイン299件、テーマ19件、合計318件の脆弱性が報告されています。

2026年02月に確認されたWordPress関連の脆弱性情報です。

プラグイン299件、テーマ19件、合計318件の脆弱性が報告されています。

プラグイン

名称 脆弱性の種類 対象ver. パッチ済ver. 重要度 CVE ID
Tutor LMS – eLearning and online course solution SQLインジェクション <= 3.9.6 3.9.7 CVE-2025-13673
WP Mail Logging Unauthenticated PHP Object Injection via Email Log Message Field <= 1.15.0 1.16 CVE-2026-2471
User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration 任意ファイルアップロード <= 4.2.8 4.2.9 CVE-2026-1565
Fluent Forms Pro Add On Pack Missing Authorization to Unauthenticated Payment Status modification <= 6.1.17 6.1.18 CVE-2026-2428
OVRI Payment Malicious .htaccess directive 1.7.0 CVE-2024-10938
Electric Enquiries クロスサイトスクリプティング <= 1.1 CVE-2025-14142
WP Accessibility クロスサイトスクリプティング <= 2.3.1 2.3.2 CVE-2026-2362
Simple Download Monitor クロスサイトスクリプティング <= 4.0.5 4.0.6 CVE-2026-2383
Xpro Addons — 140+ Widgets for Elementor クロスサイトスクリプティング <= 1.4.24 1.4.25 CVE-2025-14149
WPZOOM Addons for Elementor – Starter Templates & Widgets クロスサイトスクリプティング <= 1.3.4 1.3.5 CVE-2026-2295
Japanized for WooCommerce Missing Authorization to Unauthenticated Paidy Order Manipulation <= 2.8.4 2.8.5 CVE-2026-1305
WP Recipe Maker 安全でない直接オブジェクト参照 <= 10.3.2 10.3.3 CVE-2026-1558
MailArchiver SQLインジェクション <= 4.5.0 4.5.1 CVE-2026-2831
Wholesale Lead Capture Plugin for WooCommerce 任意ファイルアップロード <= 2.0.3.1 2.0.3.2 CVE-2026-27540
Wholesale Lead Capture Plugin for WooCommerce 権限昇格 <= 2.0.3.1 2.0.3.2 CVE-2026-27542
Worry Proof Backup パストラバーサル <= 0.2.4 CVE-2026-1311
User Registration & Membership – Free & Paid Memberships, Subscriptions, Content Restriction, User Profile, Custom User Registration & Login Builder 認証回避 <= 5.1.2 5.1.3 CVE-2026-1779
Event Booking Manager for WooCommerce Unauthenticated PHP Object Injection <= 5.1.1 5.1.2 CVE-2026-23549
WP Responsive Images パストラバーサル <= 1.0 CVE-2026-1557
Wholesale Suite – B2B, Dynamic Pricing & WooCommerce Wholesale Prices 権限昇格 <= 2.2.6 2.2.7 CVE-2026-27541
Livemesh Addons for Beaver Builder クロスサイトスクリプティング <= 3.9.2 CVE-2026-2029
EM Cost Calculator クロスサイトスクリプティング <= 2.3.1 CVE-2026-2506
The Events Calendar Improper Authorization to Authenticated (Contributor+) Event/Organizer/Venue Update/Trash via REST API <= 6.15.16 6.15.16.1 CVE-2026-2694
User Registration & Membership – Free & Paid Memberships, Subscriptions, Content Restriction, User Profile, Custom User Registration & Login Builder 安全でない直接オブジェクト参照 <= 5.1.2 5.1.3 CVE-2026-2356
EventPrime – Events Calendar, Bookings and Tickets Unauthenticated Information Exposure <= 4.2.8.3 4.2.8.4 CVE-2026-25389
TP2WP Importer クロスサイトスクリプティング <= 1.1 CVE-2026-2489
WP Social Meta クロスサイトスクリプティング <= 1.0.1 CVE-2026-2498
Custom Logo クロスサイトスクリプティング <= 2.2 CVE-2026-2499
Advanced Woo Labels – Product Labels & Badges for WooCommerce リモートコード実行 <= 2.36 2.37 CVE-2026-1929
Geo Mashup SQLインジェクション <= 1.13.17 1.13.18 CVE-2026-2416
WPGSI: Spreadsheet Integration Missing Authorization to Unauthenticated Arbitrary Post Creation and Deletion via Forged Base64 Token <= 3.8.3 3.8.4 CVE-2026-1916
Secure Copy Content Protection and Content Locking クロスサイトスクリプティング <= 5.0.1 5.0.2 CVE-2026-2367
Rise Blocks – A Complete Gutenberg Page Builder クロスサイトスクリプティング <= 3.7 CVE-2026-1614
ElementsKit Elementor Addons – Advanced Widgets & Templates Addons for Elementor Missing Authorization < 3.7.9 3.7.9 CVE-2026-23693
Video Conferencing with Zoom Missing Authorization < 4.6.6 4.6.6 CVE-2026-1368
Ally – Web Accessibility & Usability Missing Authorization <= 4.0.2 4.0.3 CVE-2026-25386
WP-Lister Lite for eBay Missing Authorization <= 3.8.5 3.8.6 CVE-2026-25384
Responsive Lightbox & Gallery サーバーサイドリクエストフォージェリ <= 2.7.1 2.7.2 CVE-2026-2479
Nelio A/B Testing – AB Tests and Heatmaps for Better Conversion Optimization SQLインジェクション <= 8.2.4 8.2.5 CVE-2026-25378
Post Duplicator Missing Authorization to Authenticated (Contributor+) Protected Post Meta Insertion via 'customMetaData' Parameter <= 3.0.8 3.0.9 CVE-2026-2301
WP Recipe Maker Missing Authorization to Authenticated (Subscriber+) Sensitive Information Exposure <= 10.2.3 10.3.0 CVE-2025-14742
Disable Admin Notices – Hide Dashboard Notifications クロスサイトリクエストフォージェリ <= 1.4.2 1.4.3 CVE-2026-2410
Image Optimizer – Optimize Images and Convert to WebP or AVIF Missing Authorization <= 1.7.1 1.7.2 CVE-2026-25387
Ads Pro Plugin – Multi-Purpose WordPress Advertising Manager Missing Authorization <= 5.0 5.1 CVE-2026-25388
The Plus Addons for Elementor – Addons for Elementor, Page Templates, Widgets, Mega Menu, WooCommerce Unauthenticated Email Relay <= 6.4.7 6.4.8 CVE-2026-2385
weMail: Email Marketing, Email Automation, Newsletters, Subscribers & eCommerce Email Optins Missing Authorization to Unauthenticated Form Deletion <= 2.0.7 2.0.8 CVE-2025-14339
Product Table and List Builder for WooCommerce Lite SQLインジェクション <= 4.6.2 4.6.3 CVE-2026-2232
wpForo Forum SQLインジェクション <= 2.4.14 2.4.15 CVE-2026-1581
Master Addons For Elementor – White Label, Free Widgets, Hover Effects, Conditions, & Animations クロスサイトスクリプティング <= 2.1.1 2.1.2 CVE-2026-2486
Quiz Maker クロスサイトスクリプティング <= 6.7.1.7 6.7.1.8 CVE-2026-2384
s2Member – Excellent for All Kinds of Memberships, Content Restriction Paywalls & Member Access Subscriptions 権限昇格 <= 260127 260215 CVE-2026-1994
Slider Future 任意ファイルアップロード <= 1.0.5 CVE-2026-1405
Prodigy Commerce ローカルファイルインクルージョン <= 3.3.0 3.3.1 CVE-2026-0926
Lizza LMS Pro 権限昇格 <= 1.0.3 1.0.4 CVE-2025-13563
Clasifico Listing 権限昇格 <= 2.0 CVE-2025-12882
Advanced AJAX Product Filters Authenticated (Author+) PHP Object Injection via Live Composer Compatibility <= 3.1.9.6 3.1.9.7 CVE-2026-1426
IDonate – Blood Donation, Request And Donor Management System 権限昇格 2.1.5 – 2.1.9 2.1.0 CVE-2025-4521
Toret Manager Authenticated (Subscriber+) Arbitrary Options Update via AJAX actions <= 1.2.7 1.3.0 CVE-2026-0912
Orderable – WordPress Restaurant Online Ordering System and Food Ordering Plugin Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Installation <= 1.20.0 CVE-2026-0974
WP AUDIO GALLERY Authenticated (Subscriber+) Arbitrary File Read via .htaccess Manipulation <= 2.0 CVE-2025-13603
Tablesome Table – Contact Form DB – WPForms, CF7, Gravity, Forminator, Fluent 権限昇格 0.5.4 – 1.2.1 1.2.2 CVE-2025-12845
Cookie Banner for GDPR / CCPA – WPLP Cookie Consent Missing Authorization to Sensitive Information Exposure <= 4.1.2 4.1.3 CVE-2025-11754
Library Management System SQLインジェクション <= 3.2.1 3.3 CVE-2025-12707
WP Customer Reviews クロスサイトスクリプティング <= 3.7.5 3.7.6 CVE-2025-14452
Product Feed Manager for WooCommerce – CTX Feed – Support 220+ Shopping & Social Channels Missing Authorization to Authenticated (Shop Manager+) Arbitrary Plugin Installation <= 6.6.11 6.6.12 CVE-2025-12975
BackWPup – WordPress Backup & Restore Plugin 権限昇格 5.0.0 – 5.6.2 5.6.3 CVE-2025-15041
Shield: Blocks Bots, Protects Users, and Prevents Security Breaches SQLインジェクション <= 21.0.8 21.0.10 CVE-2026-0722
Dealia – Request a quote クロスサイトスクリプティング <= 1.0.8 CVE-2026-2718
XO Event Calendar クロスサイトスクリプティング <= 3.2.10 CVE-2026-0556
YaMaps for WordPress Plugin クロスサイトスクリプティング <= 0.6.40 0.6.41 CVE-2025-14851
Easy Author Image クロスサイトスクリプティング <= 1.7 CVE-2026-1373
Advance Block Extend クロスサイトスクリプティング <= 1.0.4 CVE-2026-1646
Shield: Blocks Bots, Protects Users, and Prevents Security Breaches クロスサイトスクリプティング <= 21.0.8 21.0.10 CVE-2026-0561
xmlrpc attacks blocker クロスサイトスクリプティング <= 1.0 CVE-2026-2502
iXML – Google XML sitemap generator クロスサイトスクリプティング <= 0.6 CVE-2025-14076
News Element Elementor Blog Magazine Missing Authorization to Authenticated (Subscriber+) Data Loss <= 1.0.8 CVE-2026-2284
Checkout Field Manager (Checkout Manager) for WooCommerce Missing Authorization to Unauthenticated Arbitrary Attachment Deletion <= 7.8.5 7.8.6 CVE-2025-13930
Client Testimonial Slider クロスサイトスクリプティング <= 2.0 CVE-2026-2716
Tennis Court Bookings クロスサイトスクリプティング <= 1.2.7 CVE-2026-1044
salavat counter Plugin クロスサイトスクリプティング <= 0.9.5 CVE-2026-1047
TalkJS クロスサイトスクリプティング <= 0.1.15 0.1.16 CVE-2026-1055
Slidorion クロスサイトスクリプティング <= 1.0.2 CVE-2026-2282
Shield: Blocks Bots, Protects Users, and Prevents Security Breaches Missing Authorization to Authenticated (Subscriber+) Email MFA Update <= 21.0.9 21.0.10 CVE-2025-14427
SEO Plugin by Squirrly SEO Missing Authorization to Authenticated (Subscriber+) Cloud Service Disconnection <= 12.4.14 12.4.15 CVE-2025-14342
Remove Post Type Slug クロスサイトリクエストフォージェリ <= 1.0.2 CVE-2025-14167
Dealia – Request a quote Missing Authorization to Authenticated (Contributor+) Plugin Configuration Reset <= 1.0.7 1.0.8 CVE-2026-2504
OneClick Chat to Order Missing Authorization to Authenticated (Editor+) Plugin Settings Update <= 1.0.9 1.1.0 CVE-2025-14270
YayMail – WooCommerce Email Customizer Missing Authorization to Authenticated (Shop Manager+) Arbitrary Options Update via 'yaymail_import_state' AJAX Action <= 4.3.2 4.3.3 CVE-2026-1937
WordPress Upload Files Anywhere 任意ファイル削除 <= 2.8 CVE-2025-69379
ShopLentor – All-in-One WooCommerce Growth & Store Enhancement Plugin Unauthenticated Email Relay Abuse via 'woolentor_suggest_price_action' AJAX Action <= 3.3.2 3.3.3 CVE-2026-1714
WPNakama – Team and multi-Client Collaboration, Editorial and Project Management SQLインジェクション <= 0.6.5 0.6.6 CVE-2026-2495
Business Directory Plugin – Easy Listing Directories for WordPress SQLインジェクション <= 6.4.21 6.4.22 CVE-2026-2576
Product Addons for Woocommerce – Product Options with Custom Fields コードインジェクション <= 3.1.0 3.1.1 CVE-2026-2296
Cart All In One For WooCommerce コードインジェクション <= 1.1.21 1.1.22 CVE-2026-2019
Rent Fetch クロスサイトスクリプティング <= 0.32.6 0.32.7 CVE-2026-1931
WP-DownloadManager パストラバーサル <= 1.69 1.69.1 CVE-2026-2426
Blog2Social: Social Media Auto Post & Scheduler Missing Authorization to Authenticated (Subscriber+) Arbitrary Post Modification <= 8.7.4 8.7.5 CVE-2026-1942
Complianz – GDPR/CCPA Cookie Consent クロスサイトスクリプティング <= 7.4.3 7.4.4 CVE-2025-11185
WP Event Aggregator: Import Eventbrite events, Meetup events, social events and any iCal Events into Event Calendar クロスサイトスクリプティング <= 1.8.7 1.9.0 CVE-2026-1941
InteractiveCalculator for WordPress クロスサイトスクリプティング <= 1.0.3 1.0.4 CVE-2026-1807
Download Manager クロスサイトスクリプティング <= 3.3.46 3.3.47 CVE-2026-1666
SiteOrigin Widgets Bundle Missing Authorization to Authenticated (Subscriber+) Arbitrary Shortcode Execution <= 1.70.4 1.71.0 CVE-2026-2127
RegistrationMagic – Custom Registration Forms, User Registration, Payment, and User Login Unauthenticated Payment Bypass via rm_process_paypal_sdk_payment <= 6.0.6.9 6.0.7.0 CVE-2025-14444
User Submitted Posts – Enable Users to Submit Posts from the Front End Incorrect Authorization to Unauthenticated Category Restriction Bypass via 'user-submitted-category' Parameter <= 20260113 20260217 CVE-2026-2126
Business Directory Plugin – Easy Listing Directories for WordPress Missing Authorization to Unauthenticated Arbitrary Listing Modification <= 6.4.20 6.4.21 CVE-2026-1656
YayMail – WooCommerce Email Customizer Missing Authorization to Authenticated (Shop Manager+) License Key Deletion via '/yaymail-license/v1/license/delete' Endpoint <= 4.3.2 4.3.3 CVE-2026-1938
Video Share VOD – Turnkey Video Site Builder Script クロスサイトスクリプティング <= 2.7.11 2.7.12 CVE-2025-13727
Community Events クロスサイトスクリプティング <= 1.5.7 1.5.8 CVE-2026-1649
YayMail – WooCommerce Email Customizer クロスサイトスクリプティング <= 4.3.2 4.3.3 CVE-2026-1943
Private Comment クロスサイトスクリプティング <= 0.0.4 0.0.5 CVE-2026-2281
The Plus Addons for Elementor – Addons for Elementor, Page Templates, Widgets, Mega Menu, WooCommerce Incorrect Authorization to Authenticated (Author+) Arbitrary Draft Post Creation via 'post_type' <= 6.4.7 6.4.8 CVE-2026-2386
EventPrime – Events Calendar, Bookings and Tickets Missing Authorization to Authenticated (Subscriber+) Arbitrary Event Modification via 'event_id' Parameter <= 4.2.8.4 4.2.8.5 CVE-2026-1655
Dam Spam クロスサイトリクエストフォージェリ <= 1.0.8 1.0.9 CVE-2026-2112
Kali Forms — Contact Form & Drag-and-Drop Builder 安全でない直接オブジェクト参照 <= 2.4.8 2.4.9 CVE-2026-1860
Kadence Blocks — Page Builder Toolkit for Gutenberg Editor Missing Authorization to Authenticated (Contributor+) Unauthorized Media Upload <= 3.6.1 3.6.2 CVE-2026-2633
WP All Export – Drag & Drop Export to Any Custom CSV, XML & Excel Unauthenticated Sensitive Information Exposure via PHP Type Juggling <= 1.4.14 1.4.15 CVE-2026-1582
WP-DownloadManager パストラバーサル <= 1.69 1.69.1 CVE-2026-2419
YayMail – WooCommerce Email Customizer Missing Authorization to Authenticated (Shop Manager+) Plugin Installation and Activation <= 4.3.2 4.3.3 CVE-2026-1831
WP Maps – Store Locator,Google Maps,OpenStreetMap,Mapbox,Listing,Directory & Filters ローカルファイルインクルージョン <= 4.8.6 4.8.7 CVE-2025-12062
WowRevenue – Product Bundles & Bulk Discounts Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Installation/Activation <= 2.1.3 2.1.4 CVE-2026-2001
Zarinpal Gateway Improper Access Control to Payment Status Update <= 5.0.16 5.0.17 CVE-2026-2592
RSS Aggregator – RSS Import, News Feeds, Feed to Post, and Autoblogging クロスサイトスクリプティング <= 5.0.10 5.0.11 CVE-2026-1216
EventPrime – Events Calendar, Bookings and Tickets Missing Authorization to Unauthenticated Image Upload via 'ep_upload_file_media' AJAX Endpoint <= 4.2.8.4 4.2.8.5 CVE-2026-1657
Forminator Forms – Contact Form, Payment Form & Custom Form Builder クロスサイトスクリプティング <= 1.50.2 1.50.3 CVE-2026-2002
Spam protection, Honeypot, Anti-Spam by CleanTalk 認可回避 <= 6.71 6.72 CVE-2026-1490
Ecwid by Lightspeed Ecommerce Shopping Cart 権限昇格 <= 7.0.7 7.0.8 CVE-2026-1750
Element Pack Addons for Elementor Authenticated (Contributor+) Arbitrary File Read <= 8.3.17 8.3.18 CVE-2026-1793
Truelysell Core 権限昇格 <= 1.8.7 1.8.8 CVE-2025-8572
midi-Synth 任意ファイルアップロード <= 1.1.0 2.0.0 CVE-2026-1306
Starfish Review Generation & Marketing for WordPress Authenticated (Subscriber+) Arbitrary Options Update via srm_restore_options_defaults <= 3.1.19 CVE-2025-15157
Magic Login Mail or QR Code 権限昇格 <= 2.05 2.06 CVE-2026-2144
Flexi Product Slider and Grid for WooCommerce ローカルファイルインクルージョン <= 1.0.5 CVE-2026-1988
SureForms – Contact Form, Payment Form & Other Custom Form Builder Unauthenticated Stripe Payment Amount Manipulation <= 2.2.1 2.2.2 CVE-2025-14855
PhotoStack Gallery SQLインジェクション <= 0.4.1 CVE-2026-2024
BlueSnap Payment Gateway for WooCommerce Missing Authorization to Unauthenticated Arbitrary Order Status Manipulation <= 3.4.0 3.4.1 CVE-2026-0692
Super Page Cache クロスサイトスクリプティング <= 5.2.2 5.2.3 CVE-2026-1843
User Language Switch サーバーサイドリクエストフォージェリ <= 1.6.10 CVE-2026-0745
Super Simple Contact Form クロスサイトスクリプティング <= 1.6.2 CVE-2026-0753
PixelYourSite Pro – Your smart PIXEL (TAG) Manager クロスサイトスクリプティング <= 12.4.0.2 12.4.0.3 CVE-2026-1844
PixelYourSite – Your smart PIXEL (TAG) & API Manager クロスサイトスクリプティング <= 11.2.0 11.2.0.1 CVE-2026-1841
Essential Addons for Elementor – Popular Elementor Templates & Widgets クロスサイトスクリプティング <= 6.5.9 6.5.10 CVE-2026-1512
myCred – Points Management System For Gamification, Ranks, Badges, and Loyalty Program. クロスサイトスクリプティング <= 2.9.7.3 2.9.7.4 CVE-2026-0550
Ravelry Designs Widget クロスサイトスクリプティング <= 1.0.0 CVE-2026-1903
UpMenu – Online ordering for restaurants クロスサイトスクリプティング <= 3.1 CVE-2026-1910
Chatbot for WordPress by Collect.chat ⚡️ クロスサイトスクリプティング <= 2.4.8 2.4.9 CVE-2026-0736
Press3D クロスサイトスクリプティング <= 1.0.2 CVE-2026-1985
Payment Page | Payment Form for Stripe クロスサイトスクリプティング <= 1.4.6 1.4.7 CVE-2026-0751
Percent to Infograph クロスサイトスクリプティング <= 1.0 CVE-2026-1939
Geo Widget クロスサイトスクリプティング <= 1.0 CVE-2026-1792
Scheduler Widget 安全でない直接オブジェクト参照 <= 0.1.6 CVE-2026-1987
MailChimp Campaigns Missing Authorization to Authenticated (Subscriber+) MailChimp App Disconnection <= 3.2.4 CVE-2026-1303
MP3 Audio Player – Music Player, Podcast Player & Radio by Sonaar サーバーサイドリクエストフォージェリ 5.3 – 5.10 5.11 CVE-2026-1249
Mail Mint – Newsletters, Email Marketing, Automation, WooCommerce Emails, Post Notification, and more SQLインジェクション <= 1.19.2 1.19.3 CVE-2026-1258
Link Hopper クロスサイトスクリプティング <= 2.5 CVE-2025-15483
User Language Switch クロスサイトスクリプティング <= 1.6.10 CVE-2026-0735
Media Library Folders 安全でない直接オブジェクト参照 <= 8.3.6 8.3.7 CVE-2026-2312
Modula Image Gallery – Photo Grid & Video Gallery Missing Authorization to Authenticated (Contributor+) Arbitrary Post/Page Editing <= 2.13.6 2.13.7 CVE-2026-1254
Smart Forms – when you need more than just a contact form Missing Authorization to Authenticated (Subscriber+) Campaign Data Exposure <= 2.6.99 CVE-2026-2022
MDirector Newsletter WordPress Plugin クロスサイトリクエストフォージェリ <= 4.5.8 4.5.9 CVE-2025-14852
WP Quick Contact Us クロスサイトリクエストフォージェリ <= 1.0 CVE-2026-1394
FastDup – Fastest WordPress Migration & Duplicator Missing Authorization to Authenticated (Contributor+) Backup Creation and Download <= 2.7.1 2.7.2 CVE-2026-1104
Secure Copy Content Protection and Content Locking クロスサイトスクリプティング <= 4.9.8 4.9.9 CVE-2026-1320
Customer Reviews for WooCommerce クロスサイトスクリプティング <= 5.97.0 5.98.0 CVE-2026-1316
Activity Log for WordPress Missing Authorization to Sensitive Information Exposure via Log File <= 1.2.8 1.2.9 CVE-2026-1671
LatePoint – Calendar Booking Plugin for Appointments and Events Missing Authorization to Booking Details Exposure <= 5.2.6 5.2.7 CVE-2026-1537
Converter for Media – Optimize images | Convert WebP & AVIF サーバーサイドリクエストフォージェリ <= 6.5.1 6.5.2 CVE-2026-1356
Migration, Backup, Staging – WPvivid Backup & Migration 任意ファイルアップロード <= 0.9.123 0.9.124 CVE-2026-1357
Videospirecore Theme Plugin 権限昇格 <= 1.0.6 CVE-2025-15096
Custom Block Builder – Lazy Blocks リモートコード実行 <= 4.2.0 4.2.1 CVE-2026-1560
wpForo Forum Authenticated (Subscriber+) PHP Object Injection <= 2.4.13 2.4.14 CVE-2026-0910
iONE360 configurator クロスサイトスクリプティング <= 2.0.57 CVE-2025-15440
Lucky Wheel Giveaway リモートコード実行 <= 1.0.22 1.0.23 CVE-2025-14541
Twitter posts to Blog Missing Authorization to Unauthenticated Plugin Settings Update <= 1.11.25 CVE-2026-1786
SlimStat Analytics SQLインジェクション <= 5.3.1 5.3.2 CVE-2025-13431
BuddyHolis ListSearch クロスサイトスクリプティング <= 1.1 CVE-2026-1853
IDE Micro code-editor クロスサイトスクリプティング <= 1.0.0 CVE-2026-1827
WDES Responsive Popup クロスサイトスクリプティング <= 1.3.6 CVE-2026-1804
Slideshow Wp クロスサイトスクリプティング <= 1.1 CVE-2026-1885
OpenPOS Lite – Point of Sale for WooCommerce クロスサイトスクリプティング <= 3.0 3.1 CVE-2026-1826
HTML Shortcodes クロスサイトスクリプティング <= 1.1 CVE-2026-1809
Microtango クロスサイトスクリプティング <= 0.9.29 0.9.30 CVE-2026-1821
Orbisius Random Name Generator クロスサイトスクリプティング <= 1.0.2 1.0.3 CVE-2026-1893
Beaver Builder Page Builder – Drag and Drop Website Builder クロスサイトスクリプティング <= 2.10.0.5 2.10.0.6 CVE-2026-1231
WaMate Confirm – Order Confirmation Missing Authorization to Authenticated (Subscriber+) Arbitrary Phone Number Blocking/Unblocking <= 2.0.1 CVE-2026-1833
WPlyr Media Block クロスサイトスクリプティング <= 1.3.0 CVE-2026-0724
Category Image クロスサイトスクリプティング <= 2.0 CVE-2026-0815
Invoct – PDF Invoices & Billing for WooCommerce Missing Authorization to Authenticated (Subscriber+) Information Exposure <= 1.6 1.7 CVE-2026-1748
MMA Call Tracking クロスサイトリクエストフォージェリ <= 2.3.15 CVE-2026-1215
Gallery by FooGallery Missing Authorization to Authenticated (Subscriber+) Arbitrary Gallery Metadata Exposure <= 3.1.9 3.1.10 CVE-2025-15524
WordPress User Extra Fields 任意ファイル削除 <= 17.0 17.1 CVE-2025-69376
LottieFiles Missing Authorization <= 3.0.0 3.1.0 CVE-2025-68043
Portfolio Builder – Elementor Portfolio Addon ローカルファイルインクルージョン <= 1.2.5 CVE-2025-69375
WordPress User Extra Fields 任意ファイル削除 <= 17.0 CVE-2025-69377
Eleblog – Elementor Blog And Magazine Addons ローカルファイルインクルージョン <= 2.0.3 CVE-2025-69374
TopperPack – Complete Elementor Addons, Theme & CPT Builder ローカルファイルインクルージョン <= 1.2.1 CVE-2025-68841
Contact Manager Unauthenticated PHP Object Injection <= 9.1 CVE-2025-68853
Ninja Forms – The Contact Form Builder That Grows With You 情報開示 <= 3.14.0 3.14.1 CVE-2026-2268
Name Directory クロスサイトスクリプティング <= 1.32.0 1.32.1 CVE-2026-1866
WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible Authenticated (Shop Manager+) Arbitrary Options Update <= 6.7.24 6.7.25 CVE-2026-0845
GMap Targeting – Simple Targeting Inside Google Maps クロスサイトスクリプティング <= 1.1.7 1.1.8 CVE-2025-67990
Product Filter for WooCommerce 権限昇格 <= 9.1.2 CVE-2025-69378
NEX-Forms – Ultimate Forms Plugin for WordPress クロスサイトスクリプティング <= 9.1.7 9.1.8 CVE-2025-69324
The Events Calendar Shortcode & Block クロスサイトスクリプティング <= 3.1.2 3.1.3 CVE-2026-1922
Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder クロスサイトスクリプティング <= 6.1.14 6.1.15 CVE-2026-0996
Popup builder with Gamification, Multi-Step Popups, Page-Level Targeting, and WooCommerce Triggers 情報開示 <= 2.2.0 2.2.1 CVE-2025-14895
WCFM Marketplace – Multivendor Marketplace for WooCommerce 安全でない直接オブジェクト参照 <= 3.7.0 3.7.1 CVE-2026-1722
WCFM Membership – WooCommerce Memberships for Multivendor Marketplace 安全でない直接オブジェクト参照 <= 2.11.8 2.11.9 CVE-2025-15147
Sigmize: A/B Testing, Session Recordings, Heatmaps & Revenue Tracking for WooCommerce, SureCart & EDD クロスサイトリクエストフォージェリ <= 0.0.9 0.0.10 CVE-2026-24962
Fluent Forms Pro Add On Pack リモートコード実行 <= 6.1.12 6.1.13 CVE-2026-0632
JAY Login & Register 権限昇格 <= 2.6.03 2.6.04 CVE-2025-15027
JAY Login & Register 権限昇格 <= 2.6.03 2.6.04 CVE-2025-15100
The Bucketlister SQLインジェクション <= 0.1.5 CVE-2025-15477
Premmerce クロスサイトスクリプティング <= 1.3.20 CVE-2026-0555
Video Onclick クロスサイトスクリプティング <= 0.4.7 CVE-2026-1608
Simple Bible Verse via Shortcode クロスサイトスクリプティング <= 1.1 CVE-2026-1570
Wikiloops Track Player クロスサイトスクリプティング <= 1.0.1 CVE-2026-1611
OMIGO クロスサイトスクリプティング <= 3.3 CVE-2026-1573
Wonka Slide クロスサイトスクリプティング <= 1.3.3 CVE-2026-1613
Bold Page Builder クロスサイトスクリプティング <= 5.4.8 CVE-2025-12159
Bold Page Builder クロスサイトスクリプティング <= 5.5.3 CVE-2025-13463
Bold Page Builder クロスサイトスクリプティング <= 5.5.1 CVE-2025-12803
Bold Page Builder クロスサイトスクリプティング <= 5.5.7 CVE-2025-15267
Subitem AL Slider クロスサイトスクリプティング <= 1.0.0 CVE-2026-1634
MP-Ukagaka クロスサイトスクリプティング <= 1.5.2 CVE-2026-1643
Advanced Country Blocker 認可回避 <= 2.3.1 2.3.2 CVE-2026-1675
The Bucketlister Missing Authorization to Authenticated (Subscriber+) Bucket List Modification <= 0.1.5 CVE-2025-15476
TITLE ANIMATOR クロスサイトリクエストフォージェリ <= 1.0 CVE-2026-1082
WP Duplicate – WordPress Migration Plugin 任意ファイルアップロード <= 1.1.8 1.1.9 CVE-2026-1499
Yoast SEO – Advanced SEO with real-time guidance and built-in AI クロスサイトスクリプティング <= 26.8 26.9 CVE-2026-1293
Events Listing Widget クロスサイトスクリプティング <= 1.3.4 1.3.5 CVE-2026-1252
Employee Directory – Staff Directory and Listing クロスサイトスクリプティング <= 1.2.1 1.2.2 CVE-2026-1279
Docus – YouTube Video Playlist クロスサイトスクリプティング <= 1.0.6 1.0.7 CVE-2026-1888
WaveSurfer-WP クロスサイトスクリプティング <= 2.8.3 2.8.4 CVE-2026-1909
Orange Comfort+ accessibility toolbar for WordPress クロスサイトスクリプティング <= 0.7 0.7.1 CVE-2026-1808
Tune Library クロスサイトスクリプティング <= 1.6.3 1.6.4 CVE-2026-1401
OAuth Single Sign On – SSO (OAuth Client) Missing Authorization <= 6.26.14 6.26.15 CVE-2025-10753
Code Snippets クロスサイトリクエストフォージェリ <= 3.9.4 3.9.5 CVE-2026-1785
Timeline Block – Beautiful Timeline Builder for WordPress (Vertical & Horizontal Timelines) 安全でない直接オブジェクト参照 <= 1.3.3 1.3.4 CVE-2026-1228
Popup builder with Gamification, Multi-Step Popups, Page-Level Targeting, and WooCommerce Triggers SQLインジェクション <= 2.2.0 2.2.1 CVE-2025-13192
All In One Image Viewer Block – Gutenberg block to create image viewer with hyperlink サーバーサイドリクエストフォージェリ <= 1.0.2 1.0.3 CVE-2026-1294
Robin Image Optimizer – Unlimited Image Optimization & WebP Converter クロスサイトスクリプティング <= 2.0.2 2.0.3 CVE-2026-1319
Dynamic Widget Content クロスサイトスクリプティング <= 1.3.6 1.3.7 CVE-2026-1268
Essential Widgets クロスサイトスクリプティング <= 3.0 3.0.1 CVE-2026-0867
Peter’s Date Countdown クロスサイトスクリプティング <= 2.0.0 2.0.1 CVE-2026-1654
ELEX WordPress HelpDesk & Customer Ticketing System Missing Authorization to Authenticated (Subscriber+) Settings Update <= 3.3.5 3.3.6 CVE-2025-14079
ProfileGrid – User Profiles, Groups and Communities 安全でない直接オブジェクト参照 <= 5.9.7.2 5.9.7.3 CVE-2026-1271
ShortPixel Image Optimizer – Optimize Images, Convert WebP & AVIF Authenticated (Editor+) Arbitrary File Read via 'loadFile' Parameter <= 6.4.2 6.4.3 CVE-2026-1246
Greenshift – animation and page builder blocks 情報開示 <= 12.5.7 12.6 CVE-2026-1927
ProfileGrid – User Profiles, Groups and Communities Missing Authorization to Authenticated (Subscriber+) Arbitrary User Suspension <= 5.9.7.2 5.9.7.3 CVE-2025-13416
SportsPress – Sports Club & League Manager ローカルファイルインクルージョン <= 2.7.26 2.7.27 CVE-2025-15368
WP FOFT Loader 任意ファイルアップロード <= 2.1.39 2.1.40 CVE-2026-1756
Infility Global SQLインジェクション <= 2.14.46 CVE-2025-15268
SEO Flow by LupsOnline Unauthenticated Arbitrary Post/Category Modification <= 2.2.1 3.0.0 CVE-2025-15285
Gyan Elements ローカルファイルインクルージョン <= 2.2.1 2.2.2 CVE-2026-23978
MyRewards Missing Authorization to Authenticated (Subscriber+) Arbitrary Loyalty Rule Modification <= 5.6.1 5.7.0 CVE-2025-15260
WebPurify Profanity Filter Missing Authorization to Unauthenticated Plugin Settings Change via webpurify_save_options <= 4.0.2 4.0.3 CVE-2026-0572
Smart Appointment & Booking クロスサイトスクリプティング <= 1.0.7 1.0.8 CVE-2026-0742
Menu Icons by ThemeIsle クロスサイトスクリプティング <= 0.13.20 0.13.21 CVE-2026-1755
Fortis for WooCommerce Missing Authorization to Unauthenticated Arbitrary Order Status Update to Paid via 'wc-api' Endpoint <= 1.2.0 1.3.0 CVE-2026-0679
Chapa Payment Gateway Plugin for WooCommerce Unauthenticated Sensitive Information Exposure <= 1.0.3 CVE-2025-15482
Magic Import Document Extractor Unauthenticated Sensitive Information Exposure <= 1.0.6 CVE-2025-15508
Magic Import Document Extractor Missing Authorization to Unauthenticated Plugin License Status Modification <= 1.0.5 1.0.6 CVE-2025-15507
Xendit Payment Missing Authorization to Unauthenticated Arbitrary Order Status Update to Paid <= 6.0.2 6.1.0 CVE-2025-14461
Code Explorer Authenticated (Administrator+) Arbitrary File Read via 'file' Parameter <= 1.4.6 CVE-2025-15487
All push notification for WP SQLインジェクション <= 1.5.3 CVE-2026-0816
SIBS woocommerce payment gateway SQLインジェクション <= 2.2.0 CVE-2026-1370
WP Content Permission クロスサイトスクリプティング <= 1.2 CVE-2026-0743
Extended Random Number Generator クロスサイトスクリプティング <= 1.1 CVE-2026-0681
Booked – Appointment Booking for WordPress 認証回避 <= 3.0.0 CVE-2026-22341
OS DataHub Maps 任意ファイルアップロード <= 1.8.3 1.8.4 CVE-2026-1730
Tutor LMS – eLearning and online course solution 安全でない直接オブジェクト参照 <= 3.9.5 3.9.6 CVE-2026-1375
Nestbyte Core SQLインジェクション <= 1.2 CVE-2025-69308
Woodly Core SQLインジェクション <= 1.4 CVE-2025-69310
Electio Core SQLインジェクション <= 1.4 CVE-2025-69306
Uroan Core SQLインジェクション <= 1.4.4 CVE-2025-69365
Medinik Core SQLインジェクション <= 1.3.6 CVE-2025-69307
Emerce – Multipurpose WooCommerce WordPress Theme SQLインジェクション <= 1.8 CVE-2025-69366
Saasplate Core SQLインジェクション <= 1.2.8 CVE-2025-69309
LatePoint – Calendar Booking Plugin for Appointments and Events クロスサイトスクリプティング <= 5.2.5 5.2.6 CVE-2026-0617
Form Maker by 10Web – Mobile-Friendly Drag & Drop Contact Form Builder クロスサイトスクリプティング <= 1.15.35 1.15.36 CVE-2026-1065
Educare – Students & Result Management System クロスサイトスクリプティング <= 1.6.1 1.6.2 CVE-2025-67978
Form Maker by 10Web – Mobile-Friendly Drag & Drop Contact Form Builder クロスサイトスクリプティング <= 1.15.35 1.15.36 CVE-2026-1058
Happy Addons for Elementor クロスサイトスクリプティング <= 3.20.7 3.20.8 CVE-2026-1210
bSlider – Create Responsive Image, Post, Product, and Video Sliders クロスサイトスクリプティング <= 2.0.6 2.0.7 CVE-2026-24383
ID Arrays クロスサイトスクリプティング <= 2.1.2 CVE-2025-68854
Mail Mint – Newsletters, Email Marketing, Automation, WooCommerce Emails, Post Notification, and more クロスサイトスクリプティング <= 1.19.2 1.19.3 CVE-2026-1447
Unlimited Elements For Elementor クロスサイトスクリプティング <= 2.0.1 2.0.2 CVE-2025-14274
Tutor LMS – eLearning and online course solution 情報開示 <= 3.9.5 3.9.6 CVE-2026-1371
Spectra Gutenberg Blocks – Website Builder for the Block Editor 情報開示 <= 2.19.17 2.19.18 CVE-2026-0950
WP ULike – Engagement Analytics & Interactive Buttons to Understand Your Audience 安全でない直接オブジェクト参照 <= 4.8.3.1 5.0.0 CVE-2026-0909
The Grid Missing Authorization < 2.8.0 2.8.0 CVE-2026-24368
ModelTheme Framework Missing Authorization <= 1.9.2 CVE-2025-69303
Travelpayouts Missing Authorization <= 1.2.1 CVE-2025-68042
Nelio Popups Missing Authorization <= 1.3.5 1.3.6 CVE-2026-25016
Easy Hotel Booking – Powerful Hotel Booking Missing Authorization <= 1.8.4 CVE-2025-68005
Shiprocket 安全でない直接オブジェクト参照 <= 2.0.8 CVE-2025-68051
Sell BTC – Cryptocurrency Selling Calculator クロスサイトスクリプティング <= 1.5 1.6 CVE-2025-14554
Popup Box – Create Countdown, Coupon, Video, Contact Form Popups クロスサイトリクエストフォージェリ <= 6.1.1 6.1.2 CVE-2026-1165
Sudoku Shortcode クロスサイトスクリプティング <= 1.0.0

テーマ

名称 脆弱性の種類 対象ver. パッチ済ver. 重要度 CVE ID
listee 権限昇格 <= 1.1.6 1.1.7 CVE-2025-12981
automotive クロスサイトスクリプティング <= 13.4 13.4.2 CVE-2025-14040
grandrestaurant Unauthenticated PHP Object Injection <= 7.0.10 7.0.11 CVE-2026-23542
buyent 権限昇格 <= 1.0.7 CVE-2025-13851
newsblogger クロスサイトリクエストフォージェリ 0.2.5.6 – 0.2.6.1 CVE-2025-12821
lorem-ipsum-books-media-store Unauthenticated PHP Object Injection <= 1.2.6 CVE-2025-69405
fivestar ローカルファイルインクルージョン <= 1.7 CVE-2026-22344
adforest 認証回避 <= 6.0.12 6.0.13 CVE-2026-1729
cozystay ローカルファイルインクルージョン < 1.9.1 1.9.1 CVE-2025-67988
vidorev ローカルファイルインクルージョン <= 2.9.9.9.9.9.7 CVE-2025-69373
urna ローカルファイルインクルージョン <= 2.5.12 2.5.13 CVE-2025-67982
besa ローカルファイルインクルージョン <= 2.3.15 2.3.16 CVE-2025-67981
golo ローカルファイルインクルージョン < 1.7.5 1.7.5 CVE-2026-23975
unicamp ローカルファイルインクルージョン <= 2.7.1 2.7.2 CVE-2026-25027
kindlycare Unauthenticated PHP Object Injection <= 1.6.1 CVE-2025-69371
capella Unauthenticated PHP Object Injection <= 2.5.5 CVE-2025-69370
soho クロスサイトスクリプティング <= 3.0.3 CVE-2025-69368
oyster クロスサイトスクリプティング <= 4.4.3 CVE-2025-69367
konte Missing Authorization <= 2.4.6 2.4.7 CVE-2025-67547

対応方法

  • パッチが提供されたバージョンはアップデートしましょう。
  • 特に重要度が高のものは確実にアップデートしておきましょう。

カテゴリ:
タグ:

WordPress × 6つまで
お問い合わせ
お申し込み