WordPress脆弱性情報：2025年07月分

2025年07月に確認されたWordPress関連の脆弱性情報です。プラグイン351件、テーマ31件、合計382件の脆弱性が報告されています。

2025年07月に確認されたWordPress関連の脆弱性情報です。

プラグイン351件、テーマ31件、合計382件の脆弱性が報告されています。

プラグイン

名称	脆弱性の種類	対象ver.	パッチ済ver.	重要度	CVE ID
AI Engine: ChatGPT Chatbot	任意ファイルアップロード	2.9.3-2.9.4	2.9.5	高	CVE-2025-7847
NinjaScanner – Virus & Malware scan	任意ファイル削除	<= 3.2.5	3.2.6	高	CVE-2025-8213
Customer Reviews for WooCommerce	クロスサイトスクリプティング	<= 5.80.2	5.81.0	高	CVE-2025-5720
GiveWP	クロスサイトスクリプティング	<= 4.5.0	4.6.0	中	CVE-2025-7205
Magical Posts Display	クロスサイトスクリプティング	<= 1.2.52	1.2.53	中	CVE-2025-54706
Easy Elementor Addons	クロスサイトスクリプティング	<= 2.2.6	2.2.7	中	CVE-2025-54704
Masteriyo – LMS	クロスサイトスクリプティング	<= 1.18.3	1.18.4	中	CVE-2025-54699
WPFunnels	クロスサイトスクリプティング	<= 3.5.26	3.5.27	中	CVE-2025-54696
JetEngine	クロスサイトスクリプティング	<= 3.7.1.2	3.7.2	中	CVE-2025-54688
JetTabs	クロスサイトスクリプティング	<= 2.2.9.1	2.2.9.2	中	CVE-2025-54687
Integration for Contact Form 7 and Constant Contact	クロスサイトスクリプティング	<= 1.1.7	1.1.8	中	CVE-2025-54684
WP Modal Popup with Cookie Integration	クロスサイトスクリプティング	<= 2.4	2.5	中	CVE-2025-54683
Classified Listing	Content Injection Vulnerability	<= 5.0.0	5.0.1	中	CVE-2025-54698
HT Mega	アクセス制御の不備	<= 2.9.0	2.9.1	中	CVE-2025-54695
Connector for Gravity Forms and Google Sheets	クロスサイトリクエストフォージェリ	<= 1.2.4	1.2.5	中	CVE-2025-54682
Motors	安全でない直接オブジェクト参照	<= 1.4.80	1.4.81	中	CVE-2025-54691
Connector for Gravity Forms and Google Sheets	オープンリダイレクト	<= 1.2.4	1.2.5	中	CVE-2025-54681
WpEvently	アクセス制御の不備	<= 4.4.6	4.4.7	中	CVE-2025-54705
Integrate Google Drive	クロスサイトリクエストフォージェリ	<= 1.5.2	1.5.3	中	CVE-2025-54703
Ebook Store	クロスサイトリクエストフォージェリ	<= 5.8013	5.8014	中	CVE-2025-54702
Button Block	クロスサイトリクエストフォージェリ	<= 1.2.0	1.2.1	中	CVE-2025-54694
HT Mega – Absolute Addons For Elementor	パストラバーサル	<= 2.9.1	2.9.2	中	CVE-2025-8151
HT Mega – Absolute Addons For Elementor	Improper Authorization to Authenticated (Contributor+) Limited Administrator Actions	<= 2.9.1	2.9.2	中	CVE-2025-8068
HT Mega – Absolute Addons For Elementor	Authenticated (Author+) Sensitive Information Exposure	<= 2.9.1	2.9.2	中	CVE-2025-8401
Smart Slider 3	SQLインジェクション	<= 3.5.1.28	3.5.1.29	高	CVE-2025-6348
Sky Addons for Elementor	クロスサイトスクリプティング	<= 3.1.4	3.2.0	中	CVE-2025-8216
Metform	クロスサイトスクリプティング	<= 4.0.1	4.0.2	中	CVE-2025-5684
StreamWeasels YouTube Integration	クロスサイトスクリプティング	<= 1.4.0	1.4.1	中	CVE-2025-7811
SW Kick Integration	クロスサイトスクリプティング	<= 1.1.4	1.1.5	中	CVE-2025-7810
Bonanza – WooCommerce Free Gifts Lite	Missing Authorization to Authenticated (Subscriber+) Opt In Success vulnerability	<= 1.0.0	–	中	CVE-2025-6730
Hydra Booking	権限昇格	1.1.0-1.1.18	1.1.19	高	CVE-2025-7689
Dataverse Integration	権限昇格	2.77-2.81	2.81.1	高	CVE-2025-7695
ReachShip WooCommerce Multi-Carrier & Conditional Shipping	任意ファイルアップロード	<= 4.3.1	4.3.2	高	CVE-2025-53213
SEOPress for MainWP	ローカルファイルインクルージョン	<= 1.4	1.5	高	CVE-2025-48298
Support Board	ローカルファイルインクルージョン	<= 3.8.0	3.8.1	高	CVE-2025-54031
WP Pipes	ローカルファイルインクルージョン	<= 1.4.3	–	高	CVE-2025-28979
CSS & JavaScript Toolbox	ローカルファイルインクルージョン	< 12.0.3	12.0.3	高	CVE-2025-3703
My Reservation System	クロスサイトスクリプティング	<= 2.3	–	高	CVE-2025-7022
Affiliate Plus	クロスサイトスクリプティング	<= 1.3.2	–	高	CVE-2025-7690
Magical Addons For Elementor	クロスサイトスクリプティング	<= 1.3.8	1.3.9	中	CVE-2025-8196
Fan Page	クロスサイトスクリプティング	<= 1.0.1	–	中	CVE-2025-6681
YouTube Embed – YouTube Gallery, Vimeo Gallery – WordPress	クロスサイトスクリプティング	<= 10.3	–	中	CVE-2025-6692
Elementor Website Builder	クロスサイトスクリプティング	<= 3.30.2	3.30.3	中	CVE-2025-4566
StreamWeasels Twitch Integration	クロスサイトスクリプティング	<= 1.9.3	1.9.4	中	CVE-2025-7809
Elementor Website Builder – More Than Just a Page Builder	クロスサイトスクリプティング	<= 3.29.0	3.29.1	中	CVE-2025-3075
Brizy	ファイルアップロード	<= 2.6.20	2.6.21	中	CVE-2025-4370
WP memory	クロスサイトリクエストフォージェリ	<= 3.98	3.99	中	CVE-2025-8104
Geo Mashup	ローカルファイルインクルージョン	<= 1.13.16	1.13.17	高	CVE-2025-48293
WooCommerce Point Of Sale (POS)	SQLインジェクション	<= 1.4	–	高	CVE-2025-52820
ProfileGrid	SQLインジェクション	<= 5.9.5.3	5.9.5.4	高	CVE-2025-49033
MelaPress Login Security	認証回避	2.1.0-2.1.1	2.2.0	高	CVE-2025-6895
GeoDirectory	SQLインジェクション	<= 2.8.97	2.8.98	高	CVE-2024-13507
Wonder Slider Lite	クロスサイトスクリプティング	<= 14.4	14.5	中	CVE-2025-7501
Advanced iFrame	クロスサイトスクリプティング	<= 2025.5	2025.6	中	CVE-2025-6987
Timber	Use of a Vulnerable Dependency vulnerability	<= 1.23.1	1.23.3	中	CVE-2024-45411
WPeMatico RSS Feed Fetcher	クロスサイトリクエストフォージェリ	<= 2.8.7	2.8.8	中	CVE-2025-8103
Droip	任意ファイルアップロード	<= 2.2.0	–	高	CVE-2025-5831
Droip	Missing Authorization to Authenticated (Subscriber+) Many Actions vulnerability	<= 2.2.0	–	高	CVE-2025-5835
Frontend File Manager	Missing Authorization to Unauthenticated Arbitrary Post Deletion vulnerability	<= 21.5	22.0	高	CVE-2023-7306
ElementsKit Elementor Addons and Templates	クロスサイトスクリプティング	<= 3.5.2	3.5.3	中	CVE-2025-3614
Omnishop	Missing Registration Restriction to Unauthenticated Account Creation via /users/register REST Endpoint vulnerability	<= 1.0.9	–	中	CVE-2025-6215
Ebook Store	任意ファイルアップロード	<= 5.8012	5.8013	高	CVE-2025-7437
WPBookit	任意ファイルアップロード	<= 1.0.6	1.0.7	高	CVE-2025-7852
ONLYOFFICE	権限昇格	1.1.0-2.2.0	–	高	CVE-2025-6380
WebinarIgnition	認証回避	<= 4.03.32	4.03.33	高	CVE-2025-6441
Post SMTP – WP SMTP Plugin with Email Logs and Mobile App for Failure Notifications – Gmail SMTP, Office 365, Brevo, Mailgun, Amazon SES and more	Missing Authorization to Authenticated (Subscriber+) Account Takeover via Email Log Exposure	<= 3.2.0	3.3.0	高	CVE-2025-24000
hiWeb Export Posts	クロスサイトリクエストフォージェリ	<= 0.9.0.0	–	高	CVE-2025-7640
Post Grid Master	クロスサイトスクリプティング	<= 3.4.13	–	高	CVE-2025-5084
Supreme Addons for Beaver Builder	クロスサイトスクリプティング	<= 1.0.9	–	中	CVE-2025-3669
Taeggie Feed	クロスサイトスクリプティング	<= 0.1.10	–	中	CVE-2025-6382
muse.ai video embedding	クロスサイトスクリプティング	<= 0.4	–	中	CVE-2025-6262
WP Applink	クロスサイトスクリプティング	<= 0.4.1	–	中	CVE-2025-6385
WP Get The Table	クロスサイトスクリプティング	<= 1.5	–	中	CVE-2025-6387
Get Youtube Subs	クロスサイトスクリプティング	<= 3.5	–	中	CVE-2025-7966
Station Pro	クロスサイトスクリプティング	<= 2.4.2	–	中	CVE-2025-7959
Voltax Video Player	クロスサイトスクリプティング	<= 1.6.5	–	中	CVE-2025-6539
Mine CloudVod	クロスサイトスクリプティング	<= 2.1.10	–	中	CVE-2025-8071
Structured Content	クロスサイトスクリプティング	<= 1.6.4	–	中	CVE-2025-4608
AI Engine: ChatGPT Chatbot	Missing URL Scheme Validation to Authenticated (Subscriber+) Arbitrary File Read via simpleTranscribeAudio and get_audio Functions vulnerability	<= 2.9.4	2.9.5	中	CVE-2025-7780
WPBakery Visual Composer	クロスサイトスクリプティング	<= 8.4.1	8.5	中	CVE-2025-4968
FunnelCockpit	クロスサイトスクリプティング	<= 1.4.2	–	中	CVE-2025-6588
Security Ninja – Secure Firewall & Secure Malware Scanner	Authenticated (Administrator+) Arbitrary File Read vulnerability	5.201-5.242	5.243	中	CVE-2025-8009
iThoughts Advanced Code Editor	クロスサイトリクエストフォージェリ	<= 1.2.10	–	中	CVE-2025-7835
WP Wallcreeper	Missing Authorization to Authenticated (Susbcriber+) Cache Enable/Disable vulnerability	<= 1.6.1	–	中	CVE-2025-7822
Social Streams	権限昇格	<= 1.0.1	–	高	CVE-2025-7722
Realty Portal – Agent	権限昇格	<= 0.3.9	–	高	CVE-2025-6190
IDonatePro – Blood Donation, Request And Donor Management WordPress Plugin	ローカルファイルインクルージョン	<= 2.1.8	–	高	CVE-2025-30635
Widget for Google Reviews	ローカルファイルインクルージョン	<= 1.0.15	1.0.16	高	CVE-2025-53565
Cloud SAML SSO – Single Sign On Login	ローカルファイルインクルージョン	<= 1.0.18	1.0.19	高	CVE-2025-49264
Ghost Kit – Page Builder Blocks, Motion Effects & Extensions	ローカルファイルインクルージョン	<= 3.4.1	3.4.2	高	CVE-2025-53567
Custom API for WP	SQLインジェクション	<= 4.2.2	4.2.3	高	CVE-2025-54048
YANewsflash	クロスサイトスクリプティング	<= 1.0.3	–	高	CVE-2025-6054
Omnishop – Mobile shop apps complementing your WooCommerce webshop	クロスサイトリクエストフォージェリ	<= 1.0.9	–	中	CVE-2025-6214
Valuation Calculator	クロスサイトスクリプティング	<= 1.3.2	–	中	CVE-2025-5753
Fleetwire Fleet Management	クロスサイトスクリプティング	<= 1.0.19	–	中	CVE-2025-6261
WP Shortcodes Plugin — Shortcodes Ultimate	クロスサイトスクリプティング	<= 7.4.2	7.4.3	中	CVE-2025-8015
Featured Image Plus – Quick & Bulk Edit with Unsplash	サーバーサイドリクエストフォージェリ	<= 1.6.6	1.6.7	中	CVE-2025-5818
Foxypress	任意ファイルアップロード	< 0.4.2.2	0.4.2.2	高	CVE-2012-10020
bSecure – Your Universal Checkout	権限昇格	1.3.7-1.7.9	–	高	CVE-2025-6187
Formality	ローカルファイルインクルージョン	<= 1.5.9	1.5.10	高	CVE-2025-48157
Nginx Cache Purge Preload	リモートコード実行	<= 2.1.1	2.1.3	高	CVE-2025-6213
Extensions For CF7	任意ファイル削除	<= 3.2.8	3.2.9	高	CVE-2025-7645
Orion Login with SMS	Authenticated Bypass via Weak OTP vulnerability	<= 1.0.5	–	高	CVE-2025-7692
WP JobHunt	安全でない直接オブジェクト参照	<= 7.2	–	高	CVE-2025-6585
Latest Post Accordian Slider	クロスサイトスクリプティング	<= 1.3	–	高	CVE-2025-7687
Like & Share My Site	クロスサイトスクリプティング	<= 0.2	–	高	CVE-2025-7685
SureForms	クロスサイトスクリプティング	< 1.7.2	1.7.2	高	CVE-2025-5921
Avishi WP PayPal Payment Button	クロスサイトスクリプティング	<= 2.0	–	高	CVE-2025-7669
Pixel Gallery Addons for Elementor	クロスサイトスクリプティング	<= 1.6.7	1.6.8	中	CVE-2025-7644
WP-Members	クロスサイトスクリプティング	<= 3.5.4.1	3.5.4.2	中	CVE-2025-7495
User Registration	クロスサイトスクリプティング	<= 4.2.4	4.3.0	中	CVE-2025-6831
CRM and Lead Management by vcita	クロスサイトスクリプティング	<= 2.7.5	2.8.0	中	CVE-2025-5240
Shortcodes Ultimate	クロスサイトスクリプティング	<= 7.4.2	7.4.3	中	CVE-2025-7354
Gutentor	クロスサイトスクリプティング	<= 3.4.8	3.4.9	中	CVE-2025-4685
EPay.bg Payments	クロスサイトスクリプティング	<= 0.1	–	中	CVE-2025-7653
Ebook Store	クロスサイトスクリプティング	<= 5.8012	5.8013	中	CVE-2025-7486
Birth Chart Compatibility	Unauthenticated Full Path Exposure vulnerability	<= 2.0	–	中	CVE-2025-6082
Shortcodes Ultimate	クロスサイトリクエストフォージェリ	<= 7.4.2	7.4.3	中	CVE-2025-7369
WooCommerce Refund And Exchange with RMA	任意ファイルアップロード	<= 3.2.6	3.2.7	高	CVE-2025-6222
MasterStudy LMS Pro	任意ファイルアップロード	<= 4.7.9	4.7.10	高	CVE-2025-7438
LoginPress Pro	認証回避	<= 5.0.1	5.0.2	高	CVE-2025-7444
Integration for Google Sheets and Contact Form 7, WPForms, Elementor, Ninja Forms	Unauthenticated PHP Object Injection via verify_field_val Function	<= 1.1.1	1.1.2	高	CVE-2025-7697
Integration for Pipedrive and Contact Form 7, WPForms, Elementor, Ninja Forms	Unauthenticated PHP Object Injection via verify_field_val Function	<= 1.2.3	1.2.4	高	CVE-2025-7696
aapanel WP Toolkit	権限昇格	1.0 – 1.1	–	高	CVE-2025-6813
Attachment Manager	任意ファイル削除	<= 2.1.2	–	高	CVE-2025-7643
B1.lt for WooCommerce	SQLインジェクション	<= 2.2.56	–	高	CVE-2025-6718
Forminator	SQLインジェクション	<= 1.45.0	1.45.1	高	CVE-2025-7638
Zuppler Online Ordering	クロスサイトスクリプティング	<= 2.1.0	–	高	CVE-2025-6053
Malcure Malware Scanner	Missing Authorization to Authenticated (Subscriber+) Arbitrary File Read vulnerability	<= 16.8	16.9	中	CVE-2025-7772
Useful Tab Block	クロスサイトスクリプティング	<= 1.3.2	–	中	CVE-2025-5754
Testimonial Post type	クロスサイトスクリプティング	<= 1.2.1	–	中	CVE-2025-5800
Vertical scroll image slideshow gallery	クロスサイトスクリプティング	<= 11.1	–	中	CVE-2025-5752
Crowdfunding for WooCommerce	クロスサイトスクリプティング	<= 3.1.14	–	中	CVE-2025-5767
Map My Locations	クロスサイトスクリプティング	<= 1.1	–	中	CVE-2025-7660
Ruven Themes: Shortcodes	クロスサイトスクリプティング	<= 1.0	–	中	CVE-2025-7648
ThemeREX Addons	クロスサイトスクリプティング	<= 2.35.1.1	2.35.2.2	中	CVE-2025-6997
Live Stream Badger	クロスサイトスクリプティング	<= 1.4.3	–	中	CVE-2025-7655
Partnerský systém Martinus	クロスサイトスクリプティング	<= 1.7.1	–	中	CVE-2025-7661
Temporarily Hidden Content	クロスサイトスクリプティング	<= 1.0.6	–	中	CVE-2025-7658
Terms descriptions	クロスサイトスクリプティング	<= 3.4.8	–	中	CVE-2025-6719
Listly	Unauthenticated Arbitrary Transient Deletion vulnerability	<= 2.7	–	中	CVE-2025-5811
MORKVA Vchasno Kasa Integration	Unauthenticated Log File Clearing	<= 1.0.3	1.0.4	中	CVE-2025-6720
MORKVA Vchasno Kasa Integration	Missing Authorization to Unauthenticated Invoice Generation	<= 1.0.3	1.0.4	中	CVE-2025-6721
Block Editor Gallery Slider	Missing Authorization to Authenticated (Subscriber+) Limited Post Meta Update vulnerability	<= 1.1.1	1.1.2	中	CVE-2025-6726
Biteship	安全でない直接オブジェクト参照	<= 3.2.0	–	中	CVE-2025-5816
Copymatic	クロスサイトリクエストフォージェリ	<= 2.1	–	中	CVE-2025-6781
School Management System for WordPress	ローカルファイルインクルージョン	<= 93.1.0	1.93.1 (02-07-2025)	高	CVE-2025-3740
Madara – Responsive Manga Site	任意ファイル削除	<= 2.2.3	2.2.4	高	CVE-2025-7712
Transposh WordPress Translation	SQLインジェクション	<= 1.0.8.1	1.0.9.2	高	CVE-2022-25811
Transposh WordPress Translation	リモートコード実行	<= 1.0.8.1	1.0.9.2	高	CVE-2022-25812
Transposh WordPress Translation	クロスサイトスクリプティング	<= 1.0.7	1.0.8	高	CVE-2021-24910
Transposh WordPress Translation	クロスサイトスクリプティング	<= 1.0.7	1.0.8	高	CVE-2021-24911
B1.lt	SQLインジェクション	<= 2.2.56	–	中	CVE-2025-6717
Transposh WordPress Translation	Missing Authorization Checks vulnerability	<= 1.0.8.1	1.0.9.2	中	CVE-2022-25810
Knowledge Base	クロスサイトスクリプティング	<= 2.3.1	2.3.2	中	CVE-2025-7431
Stop User Enumeration	Protection Bypass vulnerability	< 1.7.3	1.7.3	中	CVE-2025-4302
Transposh WordPress Translation	クロスサイトリクエストフォージェリ	<= 1.0.8.1	1.0.9.2	中	CVE-2021-24912
Bears Backup	リモートコード実行	<= 2.0.0	2.1.0	高	CVE-2025-5396
HTML5 Radio Player – WPBakery Page Builder Addon	任意ファイルアップロード	<= 2.5	2.5.3	高	CVE-2025-31070
The E-Commerce ERP: Purchasing, Inventory, Fulfillment, Manufacturing, BOM, Accounting, Sales Analysis	権限昇格	<= 2.1.1.3	–	高	CVE-2025-52836
URL Shortener Plugin For WordPress	Unauthenticated PHP Object Injection	<= 3.0.7	–	高	CVE-2025-28961
YaySMTP	SQLインジェクション	<= 1.3	1.3.1	高	CVE-2025-48161
YayExtra	SQLインジェクション	<= 1.5.5	1.5.6	高	CVE-2025-48299
SMTP for SendGrid – YaySMTP	SQLインジェクション	<= 1.5	1.5.1	高	CVE-2025-48301
SMTP for Amazon SES	SQLインジェクション	<= 1.9	1.9.1	高	CVE-2025-54043
WP-BusinessDirectory – Business directory plugin for WordPress	SQLインジェクション	<= 3.1.3	–	高	CVE-2025-24759
URL Shortener Plugin For WordPress	SQLインジェクション	<= 3.0.7	–	高	CVE-2025-28959
Import CDN-Remote Images	クロスサイトリクエストフォージェリ	<= 2.1.2	2.1.3	高	CVE-2025-48153
Image Wall	クロスサイトスクリプティング	<= 3.1	3.2	中	CVE-2025-48156
Easy Elementor Addons	クロスサイトスクリプティング	<= 2.2.5	2.2.6	中	CVE-2025-48295
LightBox Block	クロスサイトスクリプティング	<= 1.1.30	1.1.31	中	CVE-2025-54051
Responsive Addons for Elementor	クロスサイトスクリプティング	<= 1.7.3	1.7.4	中	CVE-2025-54050
ProfileGrid – User Profiles, Groups and Communities	SQLインジェクション	<= 5.9.5.2	5.9.5.3	高	CVE-2025-49876
Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery – Upload, Vote, Sell via PayPal or Stripe, Social Share Buttons, OpenAI	クロスサイトスクリプティング	<= 26.0.6	26.0.7	高	CVE-2025-48291
Chatbox Manager	アクセス制御の不備	<= 1.2.5	1.2.6	中	CVE-2025-48167
Restaurant Menu by MotoPress	クロスサイトリクエストフォージェリ	<= 2.4.6	2.4.7	中	CVE-2025-54038
Residential Address Detection	アクセス制御の不備	<= 2.5.9	2.5.10	中	CVE-2025-48155
Stop and Block bots plugin Anti bots	アクセス制御の不備	<= 1.48	1.50	中	CVE-2025-48166
Product XML Feed Manager for WooCommerce – Google Shopping, Social Sites, Skroutz & More	Missing Authorization	<= 2.9.2	2.9.3	中	CVE-2025-30959
FG Drupal to WordPress	サーバーサイドリクエストフォージェリ	<= 3.90.0	3.90.1	中	CVE-2025-48294
Real Estate Property 2024 Create Your Own Fields and Search Bar WP	アクセス制御の不備	<= 4.48	4.49	中	CVE-2025-48150
Cost Calculator	アクセス制御の不備	<= 7.4	7.5	中	CVE-2025-54047
WP Post Hide	クロスサイトリクエストフォージェリ	<= 1.0.9	1.1.0	中	CVE-2025-54042
Wallet System for WooCommerce	クロスサイトリクエストフォージェリ	<= 2.6.7	2.6.8	中	CVE-2025-54041
Animator	クロスサイトリクエストフォージェリ	<= 3.0.16	3.0.17	中	CVE-2025-54039
Pro Bulk Watermark Plugin for WordPress	パストラバーサル	<= 2.0	–	中	CVE-2025-28973
JetEngine	リモートコード実行	<= 3.7.0	3.7.1.1	高	CVE-2025-53194
Counter live visitors for WooCommerce	任意ファイル削除	<= 1.3.6	–	高	CVE-2025-7359
Malcure Malware Scanner — #1 Toolset for Malware Removal	任意ファイル削除	<= 17.0	17.1	高	CVE-2025-6043
Ultimate WP Mail	権限昇格	1.0.17 – 1.3.6	1.3.7	高	CVE-2025-6993
Restrict File Access	クロスサイトリクエストフォージェリ	<= 1.1.2	–	高	CVE-2025-7667
WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce	クロスサイトスクリプティング	<= 3.1.50	3.1.51	高	CVE-2025-2800
Media Library Assistant	クロスサイトスクリプティング	<= 3.26	3.27	中	CVE-2025-7035
Affiliate Reviews	クロスサイトスクリプティング	<= 1.0.6	–	中	CVE-2025-5845
Brandfolder – Digital Asset Management Simplified.	クロスサイトスクリプティング	<= 5.0.19	–	中	CVE-2025-5843
Master Addons – Elementor Addons with White Label, Free Widgets, Hover Effects, Conditions, & Animations	クロスサイトスクリプティング	<= 2.0.8.2	2.0.8.3	中	CVE-2025-5284
Avada (Fusion) Builder	クロスサイトスクリプティング	<= 3.12.1	3.12.2	中	CVE-2025-6747
ProfileGrid – User Profiles, Groups and Communities	クロスサイトスクリプティング	<= 5.9.5.4	5.9.5.5	中	CVE-2025-6977
HT Contact Form 7	任意ファイルアップロード	<= 2.2.1	2.2.2	高	CVE-2025-7340
Modern Events Calendar Lite	SQLインジェクション	<= 6.3.0	6.4.0	高	CVE-2021-4458
HT Contact Form 7	ディレクトリトラバーサル	<= 2.2.1	2.2.2	高	CVE-2025-7360
HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder.	任意ファイル削除	<= 2.2.1	2.2.2	高	CVE-2025-7341
Strong Testimonials	クロスサイトスクリプティング	<= 3.2.11	3.2.12	中	CVE-2025-7367
Companion Auto Update	クロスサイトスクリプティング	<= 3.9.2	3.9.3	中	CVE-2025-4369
Medical Prescription Attachment	任意ファイルアップロード	<= 1.2.3	–	高	CVE-2025-29009
WordPress-WPJobBoard	SQLインジェクション	<= 25.07010000-WP6.8.1-JB5.11.5	–	高	CVE-2025-49455
WPBookit	任意ファイルアップロード	<= 1.0.4	1.0.5	高	CVE-2025-6058
BeeTeam368 Extensions	任意ファイルアップロード	<= 2.3.5	2.3.6	高	CVE-2025-6423
WPBookit	任意ファイルアップロード	<= 1.0.4	1.0.5	高	CVE-2025-6057
Friends	Authenticated (Subscriber+) PHP Object Injection vulnerability	<= 3.5.1	3.5.2	高	CVE-2025-7504
GeoDirectory	クロスサイトスクリプティング	< 2.8.120	2.8.120	中	CVE-2025-6200
Order Delivery Date for WP e-Commerce	Unauthenticated Arbitrary Post Title Disclosure vulnerability	< 12.6.0	12.6.0	中	CVE-2025-2942
RSFirewall!	Authenticated (Admin+) Arbitrary File Read vulnerability	<= 1.1.42	1.1.43	中	CVE-2025-7518
GB Forms DB	リモートコード実行	<= 1.0.2	1.0.3	高	CVE-2025-5392
Premium Age Verification / Restriction for WordPress	Unauthenticated Arbitrary File Read and Write via remote_tunnel.php	<= 3.0.2	–	高	CVE-2025-7401
WPGYM – WordPress Gym Management System	SQLインジェクション	< 67.8.0	67.8.0	高	CVE-2025-7442
Broken Link Notifier	サーバーサイドリクエストフォージェリ	<= 1.3.0	1.3.1	高	CVE-2025-6851
Hostel	クロスサイトスクリプティング	< 1.1.5.8	1.1.5.8	高	CVE-2025-6234
WPC Smart Compare for WooCommerce	クロスサイトスクリプティング	<= 6.4.6	6.4.7	中	CVE-2025-5530
WP Register Profile With Shortcode	Authenticated (Contributor+) Sensitive Information Exposure vulnerability	<= 3.6.2	3.6.3	中	CVE-2025-4593
FooGallery	クロスサイトスクリプティング	<= 2.4.31	2.4.32	中	CVE-2025-6068
Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery – Upload, Vote, Sell via PayPal or Stripe, Social Share Buttons, OpenAI	クロスサイトスクリプティング	<= 26.0.8	26.0.9	中	CVE-2025-6716
OwnerRez	クロスサイトスクリプティング	<= 1.2.1	1.2.2	中	CVE-2025-28957
Hostel	クロスサイトスクリプティング	< 1.1.5.9	1.1.5.9	中	CVE-2025-6236
Broken Link Notifier	Authenticated (Contributor+) CSV Injection vulnerability	<= 1.3.0	1.3.1	中	CVE-2025-6838
Events Manager	SQLインジェクション	<= 7.0.3	7.0.4	高	CVE-2025-6970
Short URL	SQLインジェクション	<= 1.6.8	–	高	CVE-2023-2921
SureForms	任意ファイル削除	<= 1.7.3	1.7.4	高	CVE-2025-6691
WP Lightbox 2	クロスサイトスクリプティング	< 3.0.6.8	3.0.6.8	高	CVE-2025-3745
WP File Download	クロスサイトスクリプティング	< 6.2.6	6.2.6	高	CVE-2025-5034
Gwolle Guestbook	クロスサイトスクリプティング	<= 4.9.2	4.9.3	高	CVE-2025-5807
Events Manager	クロスサイトスクリプティング	<= 7.0.3	7.0.4	高	CVE-2025-6975
Easy Contact Form Lite	クロスサイトスクリプティング	<= 1.1.28	1.1.29	中	CVE-2025-5730
Custom Post Carousels with Owl	クロスサイトスクリプティング	< 1.4.12	1.4.12	中	CVE-2025-5125
Events Manager	クロスサイトスクリプティング	<= 7.0.3	7.0.4	中	CVE-2025-6976
wpForo Forum	クロスサイトスクリプティング	<= 2.4.5	2.4.6	中	CVE-2025-4406
Lana Downloads Manager	クロスサイトスクリプティング	<= 1.10.0	1.11.0	中	CVE-2025-7387
Newsletter	クロスサイトスクリプティング	< 8.8.5	8.8.5	中	CVE-2025-3582
Sharable Password Protected Posts	Unauthenticated Password Protect Post Access vulnerability	< 1.1.1	1.1.1	中	CVE-2025-5920
Support Board	認可回避	<= 3.8.0	3.8.1	高	CVE-2025-4855
Support Board	任意ファイル削除	<= 3.8.0	3.8.1	高	CVE-2025-4828
Service Finder Bookings	権限昇格	<= 6.0	–	高	CVE-2025-23970
Easy Stripe – Tips, Payments, and Donations	リモートコード実行	<= 1.1	1.2	高	CVE-2025-49302
Click & Pledge Connect	SQLインジェクション	<= 25.04010101-WP6.8	25.07000000-WP6.8.1	高	CVE-2025-28983
Masteriyo LMS PRO	権限昇格	<= 2.20.0	2.20.1	高	CVE-2025-53209
CouponXxL Custom Post Types	権限昇格	<= 3.0	3.1	高	CVE-2025-52726
FW Gallery – Photo, video, audio media presentation and management system with players and slideshow	任意ファイルアップロード	<= 8.0.0	–	高	CVE-2025-49414
WordPress CRM, Email & Marketing Automation for WordPress \| Award Winner — Groundhogg	任意ファイルアップロード	<= 4.2.1	4.2.2	高	CVE-2025-48300
SureForms	Unauthenticated PHP Object Injection (PHAR) vulnerability	<= 1.7.3	1.7.4	高	CVE-2025-6742
Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction	SQLインジェクション	<= 2.15.1	2.15.2	高	CVE-2025-49870
bSecure – Your Universal Checkout	SQLインジェクション	<= 1.7.9	–	高	CVE-2025-52830
WP Compress – Instant Performance & Speed Optimization	Unauthenticated Broken Authentication	<= 6.30.30	6.30.31	高	CVE-2025-47479
URL Shortener Plugin For WordPress	サーバーサイドリクエストフォージェリ	<= 3.0.7	–	高	CVE-2025-28963
Bulk Featured Image	任意ファイルアップロード	<= 1.2.2	–	高	CVE-2025-28951
AI Bud – AI Content Generator, AI Chatbot, ChatGPT, Gemini, GPT-4o	任意ファイルアップロード	<= 1.8.5	–	高	CVE-2025-23968
Simple Featured Image	クロスサイトスクリプティング	<= 1.3.1	–	中	CVE-2025-7059
Gutenberg Blocks by Kadence Blocks	クロスサイトスクリプティング	<= 3.5.10	3.5.11	中	CVE-2025-5678
WCFM – Frontend Manager for WooCommerce	Missing Authorization to Unauthenticated Plugin Settings Modification vulnerability	<= 6.7.16	6.7.17	中	CVE-2025-3780
Gallery Widget	SQLインジェクション	<= 1.2.1	–	高	CVE-2025-28969
Cool fade popup	SQLインジェクション	<= 10.1	–	高	CVE-2025-30947
iFrame Images Gallery	SQLインジェクション	<= 9.0	–	高	CVE-2025-30969
Video Gallery Block – Display your videos as a gallery in a professional way	クロスサイトスクリプティング	<= 1.1.0	–	中	CVE-2025-27326
(Simply) Guest Author Name	クロスサイトスクリプティング	<= 4.36	4.40	中	CVE-2025-24764
Card flip image slideshow	クロスサイトスクリプティング	<= 1.5	–	中	CVE-2025-30983
Posts Slider Shortcode	クロスサイトスクリプティング	<= 1.0	–	中	CVE-2025-30943
CF7 7 Mailchimp Add-on	Missing Authorization	<= 2.2	–	中	CVE-2025-29012
Chatra Live Chat + ChatBot + Cart Saver	クロスサイトスクリプティング	<= 1.0.11	–	中	CVE-2025-24735
LMSACE Connect – WooCommerce Moodle™ LMS Integration	Missing Authorization	<= 3.4	–	中	CVE-2025-29007
WooCommerce Shop Page Builder	Missing Authorization	<= 2.27.7	–	中	CVE-2025-29001
Contact Form 7 reCAPTCHA	クロスサイトリクエストフォージェリ	<= 1.2.0	–	中	CVE-2025-23972
GoZen Forms	SQLインジェクション	<= 1.1.5	–	高	CVE-2025-6782
WP Human Resource Management	権限昇格	2.0.0-2.2.17	–	高	CVE-2025-5953
Widget for Google Reviews	ローカルファイルインクルージョン	<= 1.0.15	1.0.16	高	CVE-2025-7327
Contact Form 7 Database Addon – CFDB7	クロスサイトスクリプティング	<= 1.3.1	1.3.2	高	CVE-2025-6740
Essential Addons for Elementor	クロスサイトスクリプティング	<= 6.1.19	6.1.20	中	CVE-2025-6244
AI Engine: ChatGPT Chatbot	クロスサイトスクリプティング	<= 2.8.4	2.8.5	中	CVE-2025-5570
Post Grid, Image Gallery & Portfolio for Elementor \| PowerFolio	クロスサイトスクリプティング	<= 3.2.0	3.2.1	中	CVE-2025-7046
Easy pdf restaurant menu upload	クロスサイトスクリプティング	<= 2.0.1	2.0.2	中	CVE-2025-6673
Lightbox & Modal Popup WordPress Plugin – FooBox	クロスサイトスクリプティング	<= 2.7.34	2.7.35	中	CVE-2025-5537
Guest Support	Missing Authorization to Unauthenticated Ticket Deletion vulnerability	<= 1.2.2	1.2.3	中	CVE-2025-5957
WP Firebase Push Notification	クロスサイトリクエストフォージェリ	<= 1.2.0	–	中	CVE-2025-5924
Pixelating image slideshow gallery	SQLインジェクション	<= 8.0	–	高	CVE-2025-30979
Contact Us page – Contact people LITE	SQLインジェクション	<= 3.7.4	–	高	CVE-2025-28967
WP fancybox	クロスサイトスクリプティング	<= 1.0.4	–	中	CVE-2025-26591
MyRewards	クロスサイトスクリプティング	<= 5.4.14	–	中	CVE-2025-24757
Easy Elements Hider	クロスサイトスクリプティング	<= 2.0	–	中	CVE-2025-28971
fluXtore	アクセス制御の不備	<= 1.6.0	–	中	CVE-2025-30929
Frontend File Manager	Content Injection Vulnerability	<= 23.2	–	中	CVE-2025-27358
Download	任意ファイルアップロード	<= 2.2.8	2.2.9	高	CVE-2025-6586
VikRentCar	任意ファイルアップロード	<= 1.4.3	1.4.4	高	CVE-2025-5322
WPvivid Backup and Migration	任意ファイルアップロード	<= 0.9.116	0.9.117	高	CVE-2025-5961
WPQuiz	SQLインジェクション	<= 0.4.2	–	高	CVE-2025-6739
AI Engine: ChatGPT Chatbot	Insecure OAuth Implementation vulnerability	<= 2.8.4	2.8.5	高	CVE-2025-6238
JKDEVKIT	任意ファイル削除	<= 1.9.4	–	高	CVE-2025-2932
Booking X	情報開示	1.0-1.1.2	–	高	CVE-2025-6814
GoZen Forms	SQLインジェクション	<= 1.1.5	–	高	CVE-2025-6783
yContributors	クロスサイトスクリプティング	<= 0.5	–	高	CVE-2025-6041
Premium Addons for Elementor	クロスサイトスクリプティング	<= 4.10.69	4.10.70	中	CVE-2024-11937
Uncode Core	クロスサイトスクリプティング	<= 2.9.4.2	2.9.4.3	中	CVE-2025-6944
Shortcodes Ultimate	クロスサイトスクリプティング	<= 7.4.0	7.4.1	中	CVE-2025-5567
Smart Docs	クロスサイトスクリプティング	<= 1.1.0	1.1.1	中	CVE-2025-6787
ProcessingJS for WordPress	クロスサイトスクリプティング	<= 1.2.2	–	中	CVE-2025-6039
WP Human Resource Management	Missing Authorization to Authenticated (Employee+) Arbitrary User Deletion vulnerability	2.0.0-2.2.17	–	中	CVE-2025-5956
PayMaster for WooCommerce	サーバーサイドリクエストフォージェリ	<= 0.4.31	–	中	CVE-2025-6729
DocCheck Login	Unauthorized Post Access vulnerability	<= 1.1.5	1.1.6	中	CVE-2025-6786
RD Contacto	クロスサイトリクエストフォージェリ	<= 1.4	–	中	CVE-2025-5933
Trust Payments Gateway for WooCommerce (JavaScript Library)	クロスサイトリクエストフォージェリ	<= 1.3.6	1.3.7	中	CVE-2025-53569
Radio Station	クロスサイトリクエストフォージェリ	<= 2.5.12	2.5.13	中	CVE-2025-53568
Drag and Drop Multiple File Upload (Pro) – WooCommerce	リモートコード実行	<= 1.7.1,5.0-5.0.5	1.7.2,5.0.7	高	CVE-2025-5746
Hotel Booking	ローカルファイルインクルージョン	<= 3.7	3.8	高	CVE-2025-53259
Gmedia Photo Gallery	ローカルファイルインクルージョン	<= 1.23.0	–	高	CVE-2025-53257
PeepSo Core: Groups	クロスサイトスクリプティング	<= 6.4.6.0	6.4.6.1	高	CVE-2024-9017
Element Pack Elementor Addons	クロスサイトスクリプティング	8.0.0	8.1.0	中	CVE-2025-5944
Auto Thickbox	クロスサイトスクリプティング	<= 3.5	–	中	CVE-2025-2537
Awesome Gallery	クロスサイトスクリプティング	<= 1.0	–	中	CVE-2025-2540
BlossomThemes Social Feed	クロスサイトスクリプティング	<= 2.0.5	–	中	CVE-2024-5647
Bit Form – Contact Form	Unauthenticated Sensitive Information Exposure vulnerability	<= 2.17.5	2.17.6	中	CVE-2024-13451
Hover Effects – easily create any hover effect	SQLインジェクション	<= 2.1.2	–	中	CVE-2025-53258
ONet Regenerate Thumbnails	クロスサイトリクエストフォージェリ	<= 1.5	–	中	CVE-2025-53264
WPKit For Elementor	Missing Authorization to Unauthenticated Arbitrary Options Update	<= 1.1.0	–	高	CVE-2025-32281
Ads Pro Plugin – Multi-Purpose WordPress Advertising Manager	ローカルファイルインクルージョン	<= 4.89	–	高	CVE-2025-4689
Davenport – Versatile Blog and Magazine WordPress Theme	ローカルファイルインクルージョン	<= 1.3	–	高	CVE-2025-52811
Ads Pro	SQLインジェクション	<= 4.89	–	高	CVE-2025-6437
Custom Login And Signup Widget	Arbitrary Code Execution vulnerability	<= 1.0	–	高	CVE-2025-49029
FW Food Menu – Responsive food menu with ordering & delivery solutions	任意ファイル削除	<= 6.0.0	–	高	CVE-2025-49448
Ads Pro	クロスサイトリクエストフォージェリ	<= 4.89	–	高	CVE-2025-6459
Forminator Forms – Contact Form, Payment Form & Custom Form Builder	任意ファイル削除	<= 1.44.2	1.44.3	高	CVE-2025-6463
Lead Form Data Collection to CRM	Authenticated (Subscriber+) Arbitrary Options Update	<= 3.1	3.2	高	CVE-2025-5692
Ads Pro Plugin – Multi-Purpose WordPress Advertising Manager	ローカルファイルインクルージョン	<= 4.89	–	高	CVE-2025-4380
Forminator	Unauthenticated PHP Object Injection (PHAR) Triggered via Administrator Form Submission Deletion vulnerability	<= 1.44.2	1.44.3	高	CVE-2025-6464
Ads Pro Plugin – Multi-Purpose WordPress Advertising Manager	SQLインジェクション	<= 4.89	–	高	CVE-2025-5339
Ads Pro Plugin – Multi-Purpose WordPress Advertising Manager	SQLインジェクション	<= 4.89	–	高	CVE-2025-4381
Amazon Products to WooCommerce	サーバーサイドリクエストフォージェリ	<= 1.2.7	–	高	CVE-2025-5817
File Manager Plugin For WordPress	任意ファイルアップロード	<= 7.5	–	高	CVE-2025-53260
DearFlip	クロスサイトスクリプティング	<= 2.3.65	2.3.67	高	CVE-2025-5314
WidgetKit	クロスサイトスクリプティング	<= 2.5.4	2.5.5	中	CVE-2025-2330
Magic Buttons for Elementor	クロスサイトスクリプティング	<= 1.0	–	中	CVE-2025-6687
Magic Buttons for Elementor	クロスサイトスクリプティング	<= 1.0	1.1	中	CVE-2025-6686
WP Front-end login and register	クロスサイトスクリプティング	<= 2.1.0	–	中	CVE-2024-11405
Backwp	クロスサイトスクリプティング	<= 2.0.2	–	中	CVE-2025-28956
Additional Order Filters for WooCommerce	クロスサイトリクエストフォージェリ	<= 1.22	–	中	CVE-2025-53271
Aioseo Multibyte Descriptions	クロスサイトリクエストフォージェリ	<= 0.0.6	–	中	CVE-2025-53327
Dashboard Widget Sidebar	Missing Authorization	<= 1.2.3	–	中	CVE-2025-53293
WP CTA – Call To Action Plugin, Sticky CTA, Sticky Buttons	クロスサイトリクエストフォージェリ	<= 1.6.9	–	中	CVE-2025-53270
Cron Logger	Missing Authorization	<= 1.3.0	–	中	CVE-2025-53266
Image Cleanup	クロスサイトリクエストフォージェリ	<= 1.9.2	–	中	CVE-2025-53272
Burst Statistics – Privacy-Friendly Analytics for WordPress	クロスサイトリクエストフォージェリ	<= 2.0.6	2.0.8	中	CVE-2025-53193
Soumettre.fr	Improper Authorization to Unauthenticated Soumettre Posts Creation/Modification/Deletion vulnerability	<= 2.1.5	2.1.6	低	CVE-2025-4654
Opal Estate Pro	権限昇格	<= 1.7.5	–	高	CVE-2025-6934
Ultimate Addons for Contact Form 7	クロスサイトスクリプティング	<= 3.5.21	3.5.22	中	CVE-2025-6756
Booking calendar, Appointment Booking System	SQLインジェクション	<= 3.2.17	3.2.18	高	–

テーマ

名称	脆弱性の種類	対象ver.	パッチ済ver.	重要度	CVE ID
Appzend	クロスサイトスクリプティング	<= 1.2.6	1.2.7	中	CVE-2025-5587
Platform	Missing Authorization to Unauthenticated Arbitrary Options Update vulnerability	< 1.4.4	1.4.4	高	CVE-2015-10143
Bricks Builder	SQLインジェクション	<= 1.12.4	2.0	高	CVE-2025-6495
KALLYAS – Creative eCommerce Multi-Purpose WordPress Theme	Authenticated (Contributor+) Arbitrary Folder Deletion vulnerability	<= 4.21.0	4.22.0	高	CVE-2025-6989
cena	ローカルファイルインクルージョン	<= 2.11.26	2.11.27	高	CVE-2025-48171
vidmov	ローカルファイルインクルージョン	<= 1.9.4	–	高	CVE-2025-25172
caliris-wp	ローカルファイルインクルージョン	<= 1.5	1.6	高	CVE-2025-48160
MinimogWP	Unauthenticated Price Manipulation vulnerability	<= 3.9.0	3.9.1	高	CVE-2025-8198
KALLYAS – Creative eCommerce Multi-Purpose WordPress Theme	ローカルファイルインクルージョン	<= 4.21.0	4.22.0	高	CVE-2025-6991
Educenter	クロスサイトスクリプティング	<= 1.6.2	1.6.3	中	CVE-2025-5529
WoodMart	リモートコード実行	<= 8.2.6	8.2.7	中	CVE-2025-8097
visual-arts	Authenticated (Subscriber+) PHP Object Injection	<= 2.4	–	高	CVE-2025-31422
traveler	SQLインジェクション	< 3.2.2	3.2.2	高	CVE-2025-52714
Alone	任意ファイルアップロード	<= 7.8.3	7.8.5	高	CVE-2025-5394
alone	任意ファイル削除	<= 7.8.2	7.8.5	高	CVE-2025-5393
Nokri	権限昇格	<= 1.6.3	1.6.4	高	CVE-2025-1313
WoodMart	Unauthenticated Post Disclosure vulnerability	<= 8.2.5	8.2.6	中	CVE-2025-6745
Sala	権限昇格	<= 1.1.4	–	高	CVE-2025-4606
alone	リモートコード実行	<= 7.8.2	7.8.5	高	CVE-2025-52718
couponxxl	Unauthenticated PHP Object Injection	<= 3.0.0	3.1.0	高	CVE-2025-52725
logistics-hub	任意ファイルアップロード	<= 1.1.6	–	高	CVE-2025-30933
woodmart	ローカルファイルインクルージョン	<= 8.2.3	8.2.4	高	CVE-2025-6746
WoodMart	Unauthenticated Arbitrary Shortcode Execution vulnerability	<= 8.2.3	8.2.4	高	CVE-2025-6744
WoodMart	クロスサイトスクリプティング	<= 8.2.3	8.2.4	中	CVE-2025-6743
Education Center	PHP Object Injection vulnerability	<= 3.6.10	3.6.11	高	CVE-2024-13786
mbstore	ローカルファイルインクルージョン	<= 2.3	–	高	CVE-2025-28947
greenmart	ローカルファイルインクルージョン	<= 4.2.3	4.2.4	高	CVE-2025-49883
bw-zenny	ローカルファイルインクルージョン	<= 1.7.5	–	高	CVE-2025-24769
homevillas-real-estate	任意ファイル削除	<= 2.8	–	高	CVE-2025-5014
redart	Authenticated (Subscriber+) PHP Object Injection	<= 3.7	–	高	CVE-2025-52828
vikinger	任意ファイル削除	<= 1.9.32	1.9.33	高	CVE-2025-4946

対応方法

パッチが提供されたバージョンはアップデートしましょう。
特に重要度が高のものは確実にアップデートしておきましょう。