WordPress脆弱性情報:2025年08月分
2025年08月に確認されたWordPress関連の脆弱性情報です。プラグイン294件、テーマ33件、合計327件の脆弱性が報告されています。
2025年08月に確認されたWordPress関連の脆弱性情報です。
プラグイン294件、テーマ33件、合計327件の脆弱性が報告されています。
プラグイン
| 名称 | 脆弱性の種類 | 対象ver. | パッチ済ver. | 重要度 | CVE ID |
|---|---|---|---|---|---|
| Skyword API | クロスサイトスクリプティング | <= 2.5.2 | 2.5.3 | 中 | CVE-2024-11907 |
| Amministrazione Trasparente | クロスサイトスクリプティング | <= 9.0 | 9.1 | 中 | CVE-2025-5083 |
| Ocean Extra | クロスサイトスクリプティング | <= 2.4.9 | 2.5.0 | 中 | CVE-2025-9499 |
| TablePress – Tables in WordPress made easy | クロスサイトスクリプティング | <= 3.2 | 3.2.1 | 中 | CVE-2025-9500 |
| Related Posts Lite | クロスサイトリクエストフォージェリ | <= 1.12 | – | 中 | CVE-2025-9618 |
| iATS Online Forms | SQLインジェクション | <= 1.2 | – | 高 | CVE-2025-9441 |
| Booster for WooCommerce | 任意ファイルアップロード | <= 7.2.4 | 7.2.5 | 高 | CVE-2024-13342 |
| Slider Revolution | Authenticated (Contributor+) Arbitrary File Read via 'used_svg' and 'used_images' vulnerability | <= 6.7.36 | 6.7.37 | 中 | CVE-2025-9217 |
| Events Addon for Elementor | クロスサイトスクリプティング | <= 2.2.9 | 2.3.0 | 中 | CVE-2025-8150 |
| List Subpages | クロスサイトスクリプティング | <= 1.0.6 | – | 中 | CVE-2025-8290 |
| OSM Map Widget for Elementor | クロスサイトスクリプティング | <= 1.3.0 | – | 中 | CVE-2025-8619 |
| Ultimate Tag Warrior Importer | クロスサイトリクエストフォージェリ | <= 0.2 | – | 中 | CVE-2025-9374 |
| LWSCache | Missing Authorization to Authenticated (Subscriber+) Limited Plugin Activation via lwscache_activatePlugin Function | <= 2.8.5 | 2.9 | 中 | CVE-2025-8147 |
| RingCentral Communications | 認証回避 | 1.5-1.6.8 | 1.7.0 | 高 | CVE-2025-7955 |
| Portfolio Manager Pro – WordPress Responsive Portfolio & Gallery | 任意ファイルアップロード | 3.8 | – | 高 | CVE-2025-49410 |
| miraculouscore | 権限昇格 | <= 2.0.7 | 2.0.8 | 高 | CVE-2025-49388 |
| Support Ticket | 権限昇格 | <= 1.9 | – | 高 | CVE-2025-49422 |
| Video Share VOD | クロスサイトリクエストフォージェリ | <= 2.7.6 | 2.7.7 | 高 | CVE-2025-7812 |
| Simple Download Monitor | SQLインジェクション | <= 3.9.33 | 3.9.34 | 高 | CVE-2025-8977 |
| PressApps Knowledge Base Contextual Sidebar Addon | Unauthenticated PHP Object Injection | <= 4.2.1 | 8.3 | 高 | CVE-2025-49400 |
| Portfolio Manager Pro – WordPress Responsive Portfolio & Gallery | Unauthenticated PHP Object Injection | 3.8 | – | 高 | CVE-2025-49409 |
| WP Funnel Manager | Unauthenticated PHP Object Injection | <= 1.4.0 | – | 高 | CVE-2025-52761 |
| Ovatheme Events | ローカルファイルインクルージョン | <= 1.2.8 | 1.2.9 | 高 | CVE-2025-53576 |
| Xagio SEO | Unauthenticated Sensitive Information Exposure via Unprotected Back-Up Files vulnerability | <= 7.1.0.5 | 7.1.0.6 | 高 | CVE-2024-13807 |
| Small Package Quotes – USPS Edition | PHP Object Injection Vulnerability | <= 1.3.9 | 1.3.10 | 高 | CVE-2025-58218 |
| Beaver Builder | クロスサイトスクリプティング | <= 2.9.2.1 | 2.9.3.1 | 高 | CVE-2025-8897 |
| Instant Breaking News | クロスサイトリクエストフォージェリ | <= 1.0 | 1.0.1 | 高 | CVE-2025-58217 |
| StopBadBots | Insufficient Authorization to Unauthenticated Blocklist Bypass vulnerability | <= 11.58 | 11.59 | 中 | CVE-2025-9376 |
| Dynamic AJAX Product Filters for WooCommerce | クロスサイトスクリプティング | <= 1.3.7 | 1.3.8 | 中 | CVE-2025-8073 |
| Unlimited Elements For Elementor (Free Widgets, Addons, Templates) | クロスサイトスクリプティング | <= 1.5.148 | 1.5.149 | 中 | CVE-2025-8603 |
| UsersWP | クロスサイトスクリプティング | <= 1.2.42 | 1.2.43 | 中 | CVE-2025-9344 |
| Pronamic Google Maps | クロスサイトスクリプティング | <= 2.4.1 | 2.4.2 | 中 | CVE-2025-9352 |
| Booking System Trafft | クロスサイトスクリプティング | <= 1.0.14 | 1.0.15 | 中 | CVE-2025-58213 |
| Dynamic AJAX Product Filters for WooCommerce | クロスサイトスクリプティング | <= 1.3.7 | 1.3.8 | 中 | CVE-2025-6255 |
| Booking Calendar | クロスサイトスクリプティング | <= 10.14.1 | 10.14.2 | 中 | CVE-2025-9346 |
| Lazy Load for Videos | クロスサイトスクリプティング | <= 2.18.7 | 2.18.8 | 中 | CVE-2025-7732 |
| SiteSEO – SEO Simplified | クロスサイトスクリプティング | <= 1.2.7 | 1.2.8 | 中 | CVE-2025-9277 |
| WP ULike Pro | 任意ファイルアップロード | <= 1.9.3 | 1.9.4 | 中 | CVE-2024-9648 |
| WP Thumbtack Review Slider | クロスサイトスクリプティング | <= 2.6 | 2.7 | 中 | CVE-2025-58216 |
| Ajax Search Lite | Missing Authorization to Unauthenticated Basic Information Exposure via ASL_Query in AJAX Search Handler vulnerability | <= 4.13.1 | 4.13.2 | 中 | CVE-2025-7956 |
| File Manager, Code Editor, and Backup by Managefy | パストラバーサル | <= 1.4.8 | 1.5.0 | 中 | CVE-2025-9345 |
| All-in-One WP Migration and Backup | クロスサイトスクリプティング | <= 7.97 | 7.98 | 中 | CVE-2025-8490 |
| aihub | Missing Authorization to Authenticated (Subscriber+) All Plugins Deactivated | All Versions | – | 中 | CVE-2025-0951 |
| Global DNS | リモートコード実行 | <= 3.1.0 | 3.1.1 | 高 | CVE-2025-53577 |
| Simple Business Directory Pro | 権限昇格 | < 15.6.9 | 15.6.9 | 高 | CVE-2025-53580 |
| Vibes | SQLインジェクション | <= 2.2.0 | 2.2.1 | 高 | CVE-2025-9172 |
| Event List | 権限昇格 | <= 2.0.4 | 2.0.5 | 高 | CVE-2025-6366 |
| Dokan Pro | 権限昇格 | <= 4.0.5 | 4.0.6 | 高 | CVE-2025-5931 |
| CubeWP – All-in-One Dynamic Content Framework | 権限昇格 | <= 1.1.24 | 1.1.25 | 高 | CVE-2025-54735 |
| FunnelKit – Funnel Builder for WooCommerce Checkout | ローカルファイルインクルージョン | <= 3.11.1 | 3.12.0 | 高 | CVE-2025-54750 |
| ThemeMakers Visual Content Composer | Unauthenticated PHP Object Injection | <= 1.5.8 | – | 高 | CVE-2025-53299 |
| MDTF – Meta Data and Taxonomies Filter | SQLインジェクション | <= 1.3.3.7 | 1.3.3.8 | 高 | CVE-2025-54707 |
| Automatic | クロスサイトスクリプティング | <= 3.118.0 | 3.119.0 | 高 | CVE-2025-6247 |
| 百度分享按钮 | クロスサイトスクリプティング | <= 1.0.6 | – | 高 | CVE-2025-48320 |
| Ultimate twitter profile widget | クロスサイトスクリプティング | <= 1.0 | – | 高 | CVE-2025-48321 |
| Custom Query Shortcode | パストラバーサル | <= 0.4.0 | 0.5.0 | 中 | CVE-2025-8562 |
| Mesa Mesa Reservation Widget | クロスサイトスクリプティング | <= 1.0.0 | – | 中 | CVE-2025-48319 |
| Church Admin | Missing Authorization | <= 5.0.26 | 5.0.27 | 中 | CVE-2025-57896 |
| PPWP – Password Protect WordPress | #1 Most-Reviewed Password Plugin | Authenticated (Subscriber+) Content Exposure via REST API | <= 1.9.10 | 1.9.11 | 中 | CVE-2025-5998 |
| 多说社会化评论框 | クロスサイトリクエストフォージェリ | <= 1.2 | – | 中 | CVE-2025-48318 |
| Greenshift – animation and page builder blocks | Missing Authorization | <= 12.1.1 | 12.1.2 | 中 | CVE-2025-57884 |
| Tourfic | Missing Authorization in Multiple Functions vulnerability | <= 2.14.5 | 2.15.0 | 中 | CVE-2024-8860 |
| Post Type Converter | クロスサイトリクエストフォージェリ | <= 0.6 | – | 中 | CVE-2025-48303 |
| Spexo Addons for Elementor – Free Elementor Addons, Widgets and Templates | クロスサイトスクリプティング | <= 1.0.23 | 1.0.24 | 中 | CVE-2025-8208 |
| Case Theme User | 認証回避 | <= 1.0.3 | 1.0.4 | 高 | CVE-2025-5821 |
| Simpler Checkout | 認証回避 | 0.7.0 – 1.1.13 | 1.2.0 | 高 | CVE-2025-7642 |
| Wptobe-memberships | 任意ファイル削除 | <= 3.4.2 | – | 高 | CVE-2025-9048 |
| Bravis User | 認証回避 | <= 1.0.0 | – | 高 | CVE-2025-5060 |
| Eventin – AI Powered Event Manager, Events Calendar, Booking and Tickets Plugin | サーバーサイドリクエストフォージェリ | <= 4.0.37 | 4.0.38 | 高 | CVE-2025-7813 |
| WP Talroo | クロスサイトスクリプティング | <= 2.4 | – | 高 | CVE-2025-8281 |
| WS Theme Addons | クロスサイトスクリプティング | <= 2.0.0 | – | 中 | CVE-2025-8062 |
| Ogulo – 360° Tour | クロスサイトスクリプティング | <= 1.0.11 | – | 中 | CVE-2025-9131 |
| ShortcodeHub – MultiPurpose Shortcode Builder | クロスサイトスクリプティング | <= 1.7.1 | – | 中 | CVE-2025-7957 |
| Recurring PayPal Donations | クロスサイトスクリプティング | <= 1.8 | 1.9 | 中 | CVE-2025-57891 |
| Sessions | クロスサイトスクリプティング | <= 3.2.0 | 3.2.1 | 中 | CVE-2025-57890 |
| WC Plus | Missing Authorization to Unauthenticated Settings Manipulation vulnerability | <= 1.2.0 | – | 中 | CVE-2025-7821 |
| WP Filter & Combine RSS Feeds | Missing Authorization to Authenticated (Contributor+) Feed Deletion vulnerability | <= 0.4 | – | 中 | CVE-2025-7828 |
| Restore Permanently delete Post or Page Data | クロスサイトリクエストフォージェリ | <= 1.0 | – | 中 | CVE-2025-7839 |
| Silencesoft RSS Reader | クロスサイトリクエストフォージェリ | <= 0.6 | – | 中 | CVE-2025-7842 |
| Ni WooCommerce Customer Product Report | Missing Authorization to Authenticated (Subscriber+) Settings Update vulnerability | <= 1.2.4 | – | 中 | CVE-2025-7827 |
| JobWP | クロスサイトリクエストフォージェリ | <= 2.4.3 | 2.4.4 | 中 | CVE-2025-57895 |
| WPPizza | アクセス制御の不備 | <= 3.19.8 | 3.19.8.1 | 中 | CVE-2025-57894 |
| WP Fast Total Search | クロスサイトリクエストフォージェリ | <= 1.79.270 | 1.79.274 | 中 | CVE-2025-57893 |
| Simple Statistics for Feeds | クロスサイトリクエストフォージェリ | <= 20250322 | 20250820 | 中 | CVE-2025-57892 |
| Sertifier Certificate & Badge Maker for WordPress – Tutor LMS | クロスサイトリクエストフォージェリ | <= 1.19 | 1.20 | 中 | CVE-2025-7841 |
| Crontrol | サーバーサイドリクエストフォージェリ | 1.17.0-1.19.1 | 1.19.2 | 中 | CVE-2025-8678 |
| WP Webhooks | Unauthenticated Arbitrary File Copy vulnerability | <= 3.3.5 | 3.3.6 | 高 | CVE-2025-8895 |
| ads.txt Guru Connect | クロスサイトリクエストフォージェリ | <= 1.1.1 | 1.1.2 | 高 | CVE-2025-49381 |
| NEX-Forms | クロスサイトリクエストフォージェリ | <= 9.1.3 | 9.1.4 | 高 | CVE-2025-49399 |
| Bible SuperSearch | クロスサイトスクリプティング | <= 6.0.1 | 6.1.0 | 中 | CVE-2025-8064 |
| Notice Bar | クロスサイトスクリプティング | <= 3.1.3 | 3.1.4 | 中 | CVE-2025-49389 |
| Themify Icons | クロスサイトスクリプティング | <= 2.0.3 | 2.0.4 | 中 | CVE-2025-49395 |
| Colorbox Lightbox | クロスサイトスクリプティング | <= 1.1.5 | 1.1.6 | 中 | CVE-2025-49397 |
| SlingBlocks – Gutenberg Blocks by FunnelKit (Formerly WooFunnels) | クロスサイトスクリプティング | <= 1.6.0 | 1.7.0 | 中 | CVE-2025-8607 |
| Themify Audio Dock | クロスサイトスクリプティング | <= 2.0.5 | 2.0.6 | 中 | CVE-2025-49392 |
| Templately | 機密データ露出 | <= 3.2.7 | 3.2.8 | 中 | CVE-2025-49408 |
| GiveWP | Missing Authorization to Donation Update vulnerability | <= 4.5.0 | 4.6.1 | 中 | CVE-2025-7221 |
| Sign-up Sheets | クロスサイトリクエストフォージェリ | <= 2.3.3 | 2.3.3.1 | 中 | CVE-2025-49391 |
| Themify Builder | アクセス制御の不備 | <= 7.6.7 | 7.6.8 | 中 | CVE-2025-49396 |
| Redirection for Contact Form 7 | Unauthenticated PHP Object Injection vulnerability | <= 3.2.4 | 3.2.5 | 高 | CVE-2025-8145 |
| Redirection for Contact Form 7 | 任意ファイル削除 | <= 3.2.4 | 3.2.5 | 高 | CVE-2025-8141 |
| Redirection for Contact Form 7 | デシリアライゼーション | <= 3.2.4 | 3.2.5 | 高 | CVE-2025-8289 |
| JobSearch WP Job Board | ローカルファイルインクルージョン | <= 2.9.0 | – | 高 | CVE-2025-52806 |
| Simple Login Log | PHP Object Injection vulnerability | <= 1.1.3 | – | 高 | CVE-2025-49438 |
| WPC Smart Quick View for WooCommerce | クロスサイトスクリプティング | <= 4.2.1 | 4.2.2 | 中 | CVE-2025-8618 |
| Custom Menu | クロスサイトスクリプティング | <= 1.8 | – | 中 | CVE-2025-49436 |
| Contact Manager | クロスサイトスクリプティング | <= 8.6.5 | 8.6.6 | 中 | CVE-2025-8783 |
| Jenga Payment Gateway for WooCommerce | SQLインジェクション | <= 3.0.15 | – | 中 | CVE-2025-49432 |
| Laposta WooCommerce | クロスサイトスクリプティング | <= 1.9.1 | 1.9.2 | 中 | CVE-2025-49434 |
| Easy Digital Downloads | クロスサイトリクエストフォージェリ | <= 3.5.0 | 3.5.1 | 中 | CVE-2025-8102 |
| Cloudflare Image Resizing | リモートコード実行 | <= 1.5.6 | 1.5.7 | 高 | CVE-2025-8723 |
| Automation By Autonami | 権限昇格 | <= 3.6.3 | 3.6.4 | 高 | CVE-2025-7654 |
| Online Booking & Scheduling Calendar for WordPress by vcita | 任意ファイルアップロード | <= 4.5.3 | 4.5.5 | 高 | CVE-2025-54677 |
| Add Custom Codes – Insert Header, Footer, Custom PHP Snippets, CSS, Javascript | リモートコード実行 | <= 4.80 | – | 高 | CVE-2025-30975 |
| Forms | 任意ファイルアップロード | <= 2.9.0 | – | 高 | CVE-2025-24775 |
| JS Archive List | SQLインジェクション | <= 6.1.5 | 6.1.6 | 高 | CVE-2025-7670 |
| ServerBuddy by PluginBuddy.com | クロスサイトリクエストフォージェリ | <= 1.0.5 | – | 高 | CVE-2025-49895 |
| Dynamic Pricing With Discount Rules for WooCommerce | Authenticated (Shop Manager+) Arbitrary Code Execution | <= 4.5.9 | 4.5.10 | 高 | CVE-2025-47588 |
| Nexter Blocks | クロスサイトスクリプティング | <= 4.5.4 | 4.5.5 | 中 | CVE-2025-8567 |
| Flexible Map | クロスサイトスクリプティング | <= 1.18.0 | 1.19.0 | 中 | CVE-2025-8622 |
| WPC Smart Compare for WooCommerce | クロスサイトスクリプティング | <= 6.4.7 | 6.4.8 | 中 | CVE-2025-7496 |
| Elizaibots | クロスサイトスクリプティング | <= 1.0.2 | – | 中 | CVE-2025-49893 |
| WP Emmet | クロスサイトスクリプティング | <= 0.3.4 | – | 中 | CVE-2025-49894 |
| Media Library Assistant | Authenticated (Author+) Limited File Deletion vulnerability | <= 3.27 | 3.28 | 中 | CVE-2025-8357 |
| School Management | SQLインジェクション | <= 93.2.0 | – | 高 | CVE-2024-12612 |
| WPGYM | ローカルファイルインクルージョン | <= 67.7.0 | – | 高 | CVE-2025-3671 |
| WPGYM | Missing Authorization to Admin Account Creation vulnerability | <= 67.7.0 | – | 高 | CVE-2025-6080 |
| ProfilePress | Unauthenticated Arbitrary Shortcode Execution vulnerability | <= 4.16.4 | 4.16.5 | 中 | CVE-2025-8878 |
| Advanced iFrame | クロスサイトスクリプティング | <= 2025.6 | 2025.7 | 中 | CVE-2025-8089 |
| Profile Builder | クロスサイトスクリプティング | <= 3.14.3 | 3.14.4 | 中 | CVE-2025-8896 |
| Intl DateTime Calendar | クロスサイトスクリプティング | <= 1.0.1 | – | 中 | CVE-2025-8293 |
| BetterDocs | 情報開示 | <= 4.1.1 | 4.1.2 | 中 | CVE-2025-7499 |
| Drag and Drop Multiple File Upload – Contact Form 7 | ディレクトリトラバーサル | <= 1.3.9.0 | 1.3.9.1 | 中 | CVE-2025-8464 |
| StoryChief | 任意ファイルアップロード | <= 1.0.42 | 1.0.43 | 高 | CVE-2025-7441 |
| Bit Form – Contact Form | 任意ファイルアップロード | <= 2.20.3 | 2.20.4 | 高 | CVE-2025-6679 |
| E-cab Taxi Booking Manager for Woocommerce | 権限昇格 | <= 1.3.0 | 1.3.1 | 高 | CVE-2025-8898 |
| School Management System for WordPress | 任意ファイルアップロード | <= 93.2.0 | – | 高 | CVE-2025-6079 |
| Icons Factory | 任意ファイル削除 | <= 1.6.12 | – | 高 | CVE-2025-7778 |
| AL Pack | Missing Authorization to Unauthenticated Premium Feature Activation via check_activate_permission Function vulnerability | <= 1.1.1 | 1.1.2 | 高 | CVE-2025-7664 |
| Assistant for NextGEN Gallery | Unauthenticated Arbitrary Directory Deletion vulnerability | <= 1.0.9 | – | 高 | CVE-2025-7641 |
| Linux Promotional | クロスサイトスクリプティング | <= 1.4 | – | 高 | CVE-2025-7668 |
| Last.fm Recent Album Artwork | クロスサイトスクリプティング | <= 1.0.2 | – | 高 | CVE-2025-7684 |
| LatestCheckins | クロスサイトスクリプティング | <= 1 | – | 高 | CVE-2025-7683 |
| weichuncai(WP伪春菜) | クロスサイトスクリプティング | <= 1.5 | – | 高 | CVE-2025-7686 |
| Add User Meta | クロスサイトスクリプティング | <= 1.0.1 | – | 高 | CVE-2025-7688 |
| Woocommerce Blocks – Woolook | ローカルファイルインクルージョン | <= 1.7.0 | – | 中 | CVE-2024-8393 |
| Anber Elementor Addon | クロスサイトスクリプティング | <= 1.0.1 | – | 中 | CVE-2025-7440 |
| Earnware Connect | クロスサイトスクリプティング | <= 1.0.73 | – | 中 | CVE-2025-7651 |
| Embed Bokun | クロスサイトスクリプティング | <= 0.23 | 0.24 | 中 | CVE-2025-6221 |
| Surbma | Recent Comments Shortcode | クロスサイトスクリプティング | <= 2.0 | – | 中 | CVE-2025-7649 |
| Plugin README Parser | クロスサイトスクリプティング | <= 1.3.15 | – | 中 | CVE-2025-8720 |
| School Management | アクセス制御の不備 | <= 93.2.0 | – | 中 | CVE-2025-48108 |
| elink – Embed Content | Authenticated (Contributor+) Insufficient Input Validation vulnerability | <= 1.1.0 | – | 中 | CVE-2025-7507 |
| Translate This gTranslate Shortcode | クロスサイトスクリプティング | <= 1.0 | – | 中 | CVE-2025-8719 |
| Anber Elementor Addon | クロスサイトスクリプティング | <= 1.0.1 | – | 中 | CVE-2025-7439 |
| Poll Maker | Unauthenticated Basic Information Exposure vulnerability | <= 5.8.9 | 5.9.0 | 中 | CVE-2024-12575 |
| School Management | 安全でない直接オブジェクト参照 | <= 93.1.0 | – | 中 | CVE-2025-49896 |
| Gestion de tarifs | SQLインジェクション | <= 1.4 | – | 高 | CVE-2025-7662 |
| WooCommerce OTP Login With Phone Number, OTP Verification | 認証回避 | <= 1.8.47 | 1.8.48 | 高 | CVE-2025-8342 |
| Customer Support Ticket System & Helpdesk Plugin for WordPress | リモートコード実行 | <= 6.0.1 | 6.0.3 | 高 | CVE-2025-8420 |
| BizCalendar Web | ローカルファイルインクルージョン | <= 1.1.0.50 | – | 高 | CVE-2025-7650 |
| Order Tip for WooCommerce | Unauthenticated Tip Manipulation to Negative Value Leading to Unauthorized Discounts | <= 1.5.4 | 1.5.5 | 高 | CVE-2025-6025 |
| Injection Guard | クロスサイトスクリプティング | < 1.2.8 | 1.2.8 | 高 | CVE-2025-8046 |
| WP Shopify | クロスサイトスクリプティング | < 1.5.4 | 1.5.4 | 高 | CVE-2025-7808 |
| NetInsight Analytics Implementation | クロスサイトリクエストフォージェリ | <= 1.0.3 | – | 高 | CVE-2025-52765 |
| Radius Blocks | クロスサイトスクリプティング | <= 2.2.1 | – | 中 | CVE-2025-5844 |
| Essential Addons for Elementor | クロスサイトスクリプティング | <= 6.2.2 | 6.2.3 | 中 | CVE-2025-8451 |
| Graphina | クロスサイトスクリプティング | <= 3.1.3 | 3.1.4 | 中 | CVE-2025-8867 |
| Structured Content | クロスサイトスクリプティング | < 1.7.0 | 1.7.0 | 中 | CVE-2025-3414 |
| WP Table Builder – WordPress Table Plugin | クロスサイトスクリプティング | <= 2.0.12 | 2.0.13 | 中 | CVE-2025-8604 |
| Inpersttion For Theme | Authenticated (Contributor+) Arbitrary Function Call | <= 1.0 | – | 中 | CVE-2025-8905 |
| Alobaidi Captcha | クロスサイトスクリプティング | <= 1.0.3 | – | 中 | CVE-2025-8080 |
| EventON – Events Calendar | 情報開示 | <= 2.4.6 | – | 中 | CVE-2025-8091 |
| B Slider – Responsive Image Slider | サーバーサイドリクエストフォージェリ | <= 2.0.0 | 2.0.1 | 中 | CVE-2025-8680 |
| B Slider – Responsive Image Slider | Authenticated (Subscriber+) Sensitive Information Exposure | <= 2.0.0 | 2.0.1 | 中 | CVE-2025-8676 |
| Quiz And Survey Master | クロスサイトリクエストフォージェリ | < 10.2.3 | 10.2.3 | 中 | CVE-2025-6790 |
| NetInsight Analytics Implementation | クロスサイトリクエストフォージェリ | <= 1.0.3 | – | 中 | CVE-2025-52767 |
| flexo-social-gallery | クロスサイトリクエストフォージェリ | <= 1.0006 | – | 中 | CVE-2025-52769 |
| Quttera Web Malware Scanner | サーバーサイドリクエストフォージェリ | <= 3.5.1.41 | 3.5.2.1 | 低 | CVE-2025-8013 |
| LatePoint | ローカルファイルインクルージョン | < 5.1.94 | 5.1.94 | 高 | CVE-2025-6715 |
| File Manager Pro | 任意ファイル削除 | <= 8.4.2 | 8.4.3 | 中 | CVE-2025-0818 |
| Database for Contact Form 7, WPforms, Elementor forms | 任意ファイル削除 | <= 1.4.3 | 1.4.4 | 高 | CVE-2025-7384 |
| Tutor LMS Pro | SQLインジェクション | <= 3.7.0 | 3.7.1 | 高 | CVE-2025-6184 |
| Easy pdf restaurant menu upload | クロスサイトリクエストフォージェリ | <= 2.0.2 | 2.0.3 | 中 | CVE-2025-8491 |
| B Blocks – The ultimate block collection | 権限昇格 | <= 2.0.6 | 2.0.7 | 高 | CVE-2025-8059 |
| GravityWP – Merge Tags | ローカルファイルインクルージョン | <= 1.4.4 | 1.4.5 | 高 | CVE-2025-49271 |
| Form Block | 任意ファイルアップロード | <= 1.5.5 | 1.5.6 | 高 | CVE-2025-54693 |
| CleverReach® WP | SQLインジェクション | <= 1.5.20 | 1.5.21 | 高 | CVE-2025-7036 |
| B Slider- Gutenberg Slider Block for WP | Authenticated (Subscriber+) Missing Authorization to Arbitrary Plugin Installation | <= 1.1.30 | 2.0.0 | 高 | CVE-2025-8418 |
| Code Engine | リモートコード実行 | <= 0.3.3 | 0.3.4 | 高 | CVE-2025-48169 |
| Post Grid, Posts Slider, Posts Carousel, Post Filter, Post Masonry | Authenticated (Contributor+) PHP Object Injection | <= 2.3.11 | 2.3.12 | 高 | CVE-2025-54007 |
| WooCommerce Purchase Orders | 任意ファイル削除 | <= 1.0.2 | – | 高 | CVE-2025-5391 |
| Design for Contact Form 7 Style WordPress Plugin – CF7 WOW Styler | ローカルファイルインクルージョン | <= 1.7.2 | 1.7.3 | 高 | CVE-2025-54028 |
| UiCore Elements – Free Elementor widgets and templates | Missing Authorization to Unauthenticated Arbitrary File Read | <= 1.3.0 | 1.3.1 | 高 | CVE-2025-6253 |
| MapSVG | SQLインジェクション | < 8.7.4 | 8.7.4 | 高 | CVE-2025-54669 |
| FundEngine – Donation and Crowdfunding Platform | ローカルファイルインクルージョン | <= 1.7.4 | 1.7.5 | 高 | CVE-2025-48302 |
| Easy Form Builder – WordPress plugin form builder: contact form, survey form, payment form, and custom form builder | SQLインジェクション | <= 3.8.15 | 3.8.16 | 高 | CVE-2025-54678 |
| ZoloBlocks – Gutenberg Block Editor Plugin with Advanced Blocks, Dynamic Content, Templates & Patterns | ローカルファイルインクルージョン | <= 2.3.2 | 2.3.3 | 高 | CVE-2025-53210 |
| WordPress CRM, Email & Marketing Automation for WordPress | Award Winner — Groundhogg | Authenticated (Sales Representative+) PHP Object Injection | <= 4.2.2 | 4.2.2.1 | 高 | CVE-2025-54053 |
| Master Addons for Elementor | クロスサイトスクリプティング | <= 2.0.9.0 | 2.0.9.1 | 中 | CVE-2025-8874 |
| Software Issue Manager | クロスサイトスクリプティング | <= 5.0.0 | 5.0.1 | 中 | CVE-2025-8314 |
| Mosaic Generator | クロスサイトスクリプティング | <= 1.0.5 | – | 中 | CVE-2025-8621 |
| Simple Responsive Slider | クロスサイトスクリプティング | <= 2.0 | – | 中 | CVE-2025-8690 |
| Wp chart generator | クロスサイトスクリプティング | <= 1.0.4 | – | 中 | CVE-2025-8685 |
| Inline Stock Quotes | クロスサイトスクリプティング | <= 0.2 | – | 中 | CVE-2025-8688 |
| GMap Generator | クロスサイトスクリプティング | <= 1.1 | – | 中 | CVE-2025-8568 |
| RT Easy Builder – Advanced addons for Elementor | クロスサイトスクリプティング | <= 2.3 | – | 中 | CVE-2025-8462 |
| User Language Switch | クロスサイトスクリプティング | <= 1.6.10 | – | 高 | CVE-2025-49064 |
| RentSyst – CRM solution for fleet management | クロスサイトスクリプティング | <= 2.0.100 | 2.0.101 | 高 | CVE-2025-48152 |
| Visit Counter | クロスサイトスクリプティング | <= 1.0 | – | 高 | CVE-2025-49065 |
| BaiduXZH Submit(百度熊掌号) | クロスサイトスクリプティング | <= 1.4.6 | – | 高 | CVE-2025-49063 |
| Multimedia Playlist Slider Addon for WPBakery Page Builder | クロスサイトスクリプティング | <= 2.1 | 2.2 | 高 | CVE-2025-48154 |
| WP Private Content Plus | Unauthenticated Sensitive Information Exposure vulnerability | <= 3.6.2 | – | 中 | CVE-2025-4390 |
| IDonatePro – Blood Donation, Request And Donor Management WordPress Plugin | Missing Authorization | <= 2.1.9 | – | 高 | CVE-2025-30639 |
| Elementor Website Builder | Authenticated (Administrator+) Arbitrary File Read via Image Import vulnerability | <= 3.30.2 | 3.30.3 | 中 | CVE-2025-8081 |
| AnWP Football Leagues | Authenticated (Administrator+) CSV Injection vulnerability | <= 0.16.17 | 0.16.18 | 中 | CVE-2025-8767 |
| SMM API | Missing Authorization | <= 6.0.30 | – | 高 | CVE-2025-52785 |
| Simple Local Avatars | Missing Authorization to Authenticated (Subscriber+) Avatar Migration vulnerability | <= 2.8.4 | 2.8.5 | 中 | CVE-2025-8482 |
| CBX Restaurant Booking | クロスサイトリクエストフォージェリ | <= 1.2.1 | – | 中 | CVE-2025-7965 |
| 多说社会化评论框 | クロスサイトスクリプティング | <= 1.2 | – | 高 | CVE-2025-49056 |
| WP-jScrollPane | クロスサイトスクリプティング | <= 2.0.3 | – | 高 | CVE-2025-49062 |
| Global Gallery | アクセス制御の不備 | <= 9.2.3 | 9.2.4 | 中 | CVE-2025-52721 |
| Eventin – Event Manager, Events Calendar, Booking, Tickets and Registration | 権限昇格 | <= 4.0.34 | 4.0.35 | 高 | CVE-2025-4796 |
| WP Lead Capturing Pages | Arbitrary Content Deletion vulnerability | <= 2.3 | – | 高 | CVE-2025-31425 |
| OpenStreetMap for Gutenberg and WPBakery Page Builder (formerly Visual Composer) | クロスサイトスクリプティング | <= 1.2.0 | – | 中 | CVE-2025-6572 |
| Coupon Affiliates | Settings Change Vulnerability | <= 6.4.0 | 6.4.2 | 中 | CVE-2025-54025 |
| Prevent files / folders access | パストラバーサル | <= 2.6.0 | 2.6.1 | 中 | CVE-2025-53561 |
| Cost Calculator | クロスサイトスクリプティング | <= 7.4 | 7 .5 | 中 | CVE-2025-54046 |
| Porn Videos Embed | クロスサイトスクリプティング | <= 0.9.1 | – | 中 | CVE-2025-49061 |
| Exclusive Addons Elementor | クロスサイトスクリプティング | <= 2.7.9.4 | 2.7.9.5 | 中 | CVE-2025-7498 |
| Reveal Listing | 権限昇格 | <= 3.3 | 3.4 | 高 | CVE-2025-6994 |
| Filebird | SQLインジェクション | <= 6.4.8 | 6.4.9 | 高 | CVE-2025-6986 |
| Gutenverse | クロスサイトスクリプティング | <= 3.1.0 | 3.1.1 | 中 | CVE-2025-7727 |
| Element Pack Elementor Addons | クロスサイトスクリプティング | <= 8.1.5 | 8.1.6 | 中 | CVE-2025-8100 |
| WPBakery Page Builder | クロスサイトスクリプティング | <= 8.5 | 8.6 | 中 | CVE-2025-7502 |
| WP Tournament Registration | クロスサイトスクリプティング | <= 1.3.0 | – | 中 | CVE-2025-6690 |
| esri-map-view | クロスサイトスクリプティング | <= 1.2.3 | – | 中 | CVE-2025-6259 |
| Flex Guten | クロスサイトスクリプティング | <= 1.2.5 | 1.2.6 | 中 | CVE-2025-6256 |
| GiveWP – Donation Plugin and Fundraising Platform | Unauthenticated Donor Data Exposure | <= 4.6.0 | 4.6.1 | 中 | CVE-2025-8620 |
| WP Import Export Lite | 任意ファイルアップロード | <= 3.9.29 | 3.9.30 | 高 | CVE-2025-5061 |
| WP Import Export Lite | 任意ファイルアップロード | <= 3.9.28 | 3.9.29 | 高 | CVE-2025-6207 |
| Brave Conversion Engine (PRO) | 認証回避 | <= 0.7.7 | 0.8.0 | 高 | CVE-2025-7710 |
| StoreKeeper for WooCommerce | 任意ファイルアップロード | <= 14.4.4 | 14.4.5 | 高 | CVE-2025-48148 |
| Gutenberg Blocks – PublishPress Blocks Controls, Visibility, Reusable Blocks | ローカルファイルインクルージョン | <= 3.3.1 | 3.3.2 | 高 | CVE-2025-48332 |
| RT-Theme 18 Responsive WordPress Theme | ローカルファイルインクルージョン | <= 2.4 | – | 高 | CVE-2025-32288 |
| BuddyPress XProfile Custom Image Field | 任意ファイル削除 | <= 3.0.1 | 3.1.0 | 高 | CVE-2025-48158 |
| Product XML Feed Manager for WooCommerce – Google Shopping, Social Sites, Skroutz & More | リモートコード実行 | <= 2.9.3 | 2.9.4 | 高 | CVE-2025-49887 |
| DELUCKS SEO | 権限昇格 | <= 2.6.0 | 2.6.1 | 高 | CVE-2025-48165 |
| Appointment Booking Plugin for WordPress | Efficient Booking, Calendar & Client Scheduling – Bookify | 権限昇格 | <= 1.0.9 | 1.0.10 | 高 | CVE-2025-48142 |
| BeeTeam368 Extensions | ローカルファイルインクルージョン | <= 1.9.4 | – | 高 | CVE-2025-25174 |
| Realtyna Organic IDX plugin + WPL Real Estate | ローカルファイルインクルージョン | <= 5.0.0 | 5.0.1 | 高 | CVE-2025-54052 |
| Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction | ローカルファイルインクルージョン | <= 2.15.4 | 2.15.5 | 高 | CVE-2025-54017 |
| Newsletters | ローカルファイルインクルージョン | <= 4.10 | 4.11 | 高 | CVE-2025-54034 |
| Google Map Targeting | ローカルファイルインクルージョン | <= 1.1.6 | 1.1.7 | 高 | CVE-2025-52732 |
| woozone-contextual | SQLインジェクション | <= 1.3 | – | 高 | CVE-2025-30633 |
| Super Store Finder | SQLインジェクション | <= 7.5 | 7.6 | 高 | CVE-2025-52720 |
| Use-your-Drive | Google Drive plugin for WordPress | クロスサイトスクリプティング | <= 3.3.1 | 3.3.2 | 高 | CVE-2025-7050 |
| Woffice Core | 任意ファイル削除 | <= 5.4.26 | 5.4.27 | 中 | CVE-2025-7694 |
| Download Counter | クロスサイトスクリプティング | <= 1.3 | 1.4 | 中 | CVE-2025-8294 |
| Employee Directory – Staff Listing & Team Directory | クロスサイトスクリプティング | <= 4.5.1 | 4.5.2 | 中 | CVE-2025-8295 |
| Campus Directory | クロスサイトスクリプティング | <= 1.9.1 | 1.9.2 | 中 | CVE-2025-8313 |
| WP Easy Contact | クロスサイトスクリプティング | <= 4.0.1 | 4.0.2 | 中 | CVE-2025-8315 |
| Mmm Unity Loader | クロスサイトスクリプティング | <= 1.0 | – | 中 | CVE-2025-8399 |
| Qi Addons For Elementor | クロスサイトスクリプティング | <= 1.9.2 | 1.9.3 | 中 | CVE-2025-8146 |
| Ocean Social Sharing | クロスサイトスクリプティング | <= 2.2.1 | 2.2.2 | 中 | CVE-2025-7500 |
| Ultimate Addons for Elementor – Lite | WordPress Ultimate Addons for Elementor – Lite plugin <= 2.4.6 – Missing Authorization to Authenticated (Subscriber+) Limited Settings Update vulnerability | <= 2.4.6 | 2.4.7 | 中 | CVE-2025-8488 |
| BitFire Security | Unauthenticated Information Exposure vulnerability | <= 4.5 | 4.6 | 中 | CVE-2025-6722 |
| SEO Metrics | 権限昇格 | <= 1.0.5 | – | 高 | CVE-2025-6754 |
| GiveWP | 機密データ露出 | < 4.6.1 | 4.6.1 | 高 | CVE-2025-47444 |
| Image Gallery | クロスサイトスクリプティング | <= 1.0.0 | – | 高 | CVE-2025-8400 |
| All in One Time Clock Lite | クロスサイトスクリプティング | <= 2.0 | 2.0.1 | 高 | CVE-2025-6832 |
| Magic Edge – Lite | クロスサイトスクリプティング | <= 1.1.6 | – | 中 | CVE-2025-8391 |
| Medical Addon for Elementor | クロスサイトスクリプティング | <= 1.6.3 | 1.6.5 | 中 | CVE-2025-8212 |
| 360 Photo Spheres | クロスサイトスクリプティング | <= 1.3 | – | 中 | CVE-2025-4588 |
| Custom Word Cloud | クロスサイトスクリプティング | <= 0.3 | – | 中 | CVE-2025-8317 |
| ShortPixel Adaptive Images | クロスサイトスクリプティング | <= 3.10.4 | 3.10.5 | 中 | CVE-2025-6626 |
| WP CTA | Missing Authorization to Unauthenticated Sticky Status Update | <= 1.7.0 | 1.7.1 | 中 | CVE-2025-8152 |
| BerqWP | 任意ファイルアップロード | <= 2.2.42 | 2.2.44 | 高 | CVE-2025-7443 |
| Service Finder SMS System | 権限昇格 | <= 2.0.0 | 3.0.0 | 高 | CVE-2025-5954 |
| Service Finder Bookings | 認証回避 | <= 6.0 | 6.1 | 高 | CVE-2025-5947 |
| April Framework | 任意ファイルアップロード | <= 5.1 | – | 高 | CVE-2024-13418 |
| Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery – Upload, Vote, Sell via PayPal or Stripe, Social Share Buttons, OpenAI | クロスサイトスクリプティング | <= 26.1.0 | 26.1.1 | 高 | CVE-2025-7725 |
| NinjaScanner | 任意ファイル削除 | <= 3.2.5 | 3.2.6 | 中 | CVE-2025-8213 |
| Blockspare | クロスサイトスクリプティング | <= 3.2.13.1 | 3.2.13.2 | 中 | CVE-2025-4684 |
| Sina Extension for Elementor | クロスサイトスクリプティング | <= 3.7.0 | 3.7.1 | 中 | CVE-2025-6228 |
| The Plus Addons for Elementor Page Builder Lite | クロスサイトスクリプティング | <= 6.3.10 | 6.3.11 | 中 | CVE-2025-7646 |
| April Framework | クロスサイトスクリプティング | <= 5.1 | – | 中 | CVE-2024-13419 |
| IDonate – Blood Donation, Request And Donor Management System | 情報開示 | 2.0.0 – 2.1.9 | 2.1.10 | 中 | CVE-2025-4523 |
| Stratum – Elementor Widgets | クロスサイトスクリプティング | <= 1.6.0 | 1.6.1 | 中 | CVE-2025-7845 |
| April Framework | Missing Authorization to Authenticated (Subscriber+) Settings Updates vulnerability | <= 5.1 | – | 中 | CVE-2024-13420 |
| HT Mega | パストラバーサル | <= 2.9.1 | 2.9.2 | 中 | CVE-2025-8151 |
| HT Mega | Authenticated (Author+) Sensitive Information Exposure vulnerability | <= 2.9.1 | 2.9.2 | 中 | CVE-2025-8401 |
| HT Mega | Improper Authorization to Authenticated (Contributor+) Limited Administrator Actions vulnerability | <= 2.9.1 | 2.9.2 | 中 | CVE-2025-8068 |
| Advanced Custom Fields | リモートファイルインクルージョン | <= 3.5.1 | 3.5.2 | 低 | – |
テーマ
| 名称 | 脆弱性の種類 | 対象ver. | パッチ済ver. | 重要度 | CVE ID |
|---|---|---|---|---|---|
| noo-jobmonster | 認証回避 | <= 4.7.9 | 4.8.0 | 高 | CVE-2025-54738 |
| blogmarks | ローカルファイルインクルージョン | <= 1.0.8 | – | 高 | CVE-2025-53247 |
| glamer | ローカルファイルインクルージョン | <= 1.0.2 | – | 高 | CVE-2025-53216 |
| magazine-elite | ローカルファイルインクルージョン | <= 1.2.4 | – | 高 | CVE-2025-53244 |
| eximious-magazine | ローカルファイルインクルージョン | <= 1.2.2 | – | 高 | CVE-2025-53248 |
| organic-beauty | Unauthenticated PHP Object Injection | <= 1.4.6 | – | 高 | CVE-2025-49890 |
| sala | ローカルファイルインクルージョン | <= 1.1.6 | 1.1.7 | 高 | CVE-2025-54709 |
| ArcHub | Missing Authorization to Authenticated (Subscriber+) All Plugins Deactivated vulnerability | <= 1.2.12 | – | 中 | CVE-2025-0951 |
| kipso | ローカルファイルインクルージョン | <= 1.3.4 | 1.3.5 | 高 | CVE-2025-53578 |
| Spacious | Missing Authorization to Autheticated (Subscriber+) Demo Data Import vulnerability | <= 1.9.11 | 1.9.12 | 中 | CVE-2025-9331 |
| JobZilla – Job Board WordPress Theme | クロスサイトリクエストフォージェリ | <= 2.0 | 2.0.1 | 高 | CVE-2025-49382 |
| Inspiro | クロスサイトリクエストフォージェリ | <= 2.1.2 | 2.1.3 | 高 | CVE-2025-8592 |
| Houzez | アクセス制御の不備 | <= 4.1.1 | 4.1.4 | 中 | CVE-2025-49406 |
| makeaholic | ローカルファイルインクルージョン | <= 1.8.4 | 1.8.5 | 高 | CVE-2025-54700 |
| unicamp | ローカルファイルインクルージョン | <= 2.6.3 | 2.6.4 | 高 | CVE-2025-54701 |
| ColorMag | Missing Authorization to Authenticated (Subscriber+) ThemeGrill Demo Importer Plugin Installation vulnerability | <= 4.0.19 | 4.0.20 | 中 | CVE-2025-9202 |
| Real Spaces | 権限昇格 | <= 3.6 | 3.6.1 | 高 | CVE-2025-6758 |
| Real Spaces | 権限昇格 | <= 3.5 | 3.6 | 高 | CVE-2025-8218 |
| Soledad | ローカルファイルインクルージョン | <= 8.6.7 | 8.6.8 | 高 | CVE-2025-8142 |
| Soledad | Unauthenticated Arbitrary Shortcode Execution vulnerability | <= 8.6.7 | 8.6.8 | 高 | CVE-2025-8105 |
| Soledad | クロスサイトスクリプティング | <= 8.6.7 | 8.6.8 | 中 | CVE-2025-8143 |
| OceanWP | クロスサイトリクエストフォージェリ | 4.0.9 – 4.1.1 | 4.1.2 | 中 | CVE-2025-8891 |
| shopo | 任意ファイルアップロード | <= 1.1.4 | – | 高 | CVE-2025-31048 |
| xinterio | ローカルファイルインクルージョン | <= 4.2 | 4.3 | 高 | CVE-2025-54690 |
| urna | ローカルファイルインクルージョン | <= 2.5.7 | 2.5.8 | 高 | CVE-2025-54689 |
| The7 | クロスサイトスクリプティング | <= 12.6.0 | 12.7.0 | 中 | CVE-2025-7726 |
| Betheme | クロスサイトスクリプティング | <= 28.1.3 | 28.1.4 | 中 | CVE-2025-7399 |
| Zakra | Missing Authorization to Subscriber+ Demo Import vulnerability | <= 4.1.5 | 4.1.6 | 中 | CVE-2025-8595 |
| exertio | Unauthenticated PHP Object Injection | <= 1.3.2 | 1.3.3 | 高 | CVE-2025-54686 |
| cookandmeal | ローカルファイルインクルージョン | <= 1.2.3 | 1.2.4 | 高 | CVE-2025-48149 |
| UpStore | クロスサイトスクリプティング | <= 1.7.0 | 1.7.1 | 高 | CVE-2025-48296 |
| Druco | クロスサイトスクリプティング | <= 1.5.2 | 1.5.3 | 高 | CVE-2025-54055 |
| Alone | Arbitrary Code Execution Vulnerability | < 7.8.5 | 7.8.5 | 中 | CVE-2025-54019 |
対応方法
- パッチが提供されたバージョンはアップデートしましょう。
- 特に重要度が高のものは確実にアップデートしておきましょう。