WordPress脆弱性情報:2025年06月分

2025年06月に確認されたWordPress関連の脆弱性情報です。プラグイン298件、テーマ39件、合計337件の脆弱性が報告されています。

2025年06月に確認されたWordPress関連の脆弱性情報です。

プラグイン298件、テーマ39件、合計337件の脆弱性が報告されています。

プラグイン

名称 脆弱性の種類 対象ver. パッチ済ver. 重要度 CVE ID
Real Time Validation for Gravity Forms ローカルファイルインクルージョン <= 1.7.0 CVE-2025-48330
SUMO Affiliates Pro 任意ファイルアップロード <= 10.7.0 CVE-2025-32291
WP Pipes 任意ファイル削除 <= 1.4.2 1.4.3 CVE-2025-48267
MaxiBlocks: 2300+ Patterns, 280+ Pages, 14.3K Icons & 100 Styles Missing Authorization to Authenticated (Contributor+) Arbitrary Options Update <= 2.1.0 2.1.1 CVE-2025-47601
WPCHURCH – Church Management System for WordPress 権限昇格 <= 2.7.0 CVE-2025-31643
Spreadsheet Price Changer for WooCommerce and WP E-commerce – Light 任意ファイルダウンロード <= 2.4.37 CVE-2025-48124
WBW Product Table Pro SQLインジェクション <= 2.1.3 CVE-2025-31059
All-in-One Addons for Elementor – WidgetKit クロスサイトスクリプティング <= 2.5.4 2.5.5 CVE-2025-49074
Dynamic Pricing and Discount Rules クロスサイトリクエストフォージェリ <= 2.2.9 2.3.0 CVE-2025-49077
WP Posts Carousel Authenticated (Contributor+) PHP Object Injection <= 1.3.12 1.3.13 CVE-2025-39358
Apptha Slider Gallery Unauthenticated Arbitrary File Read <= 2.5 CVE-2025-31050
Abandoned Cart Pro for WooCommerce 任意ファイルアップロード <= 9.16.0 9.17.0 CVE-2025-4387
MapSVG Authenticated (Contributor+) Privilege Esclation <= 8.5.34 CVE-2025-47561
Ultimate Blocks – WordPress Blocks Plugin クロスサイトスクリプティング <= 3.3.3 3.3.4 CVE-2025-2918
Premium Addons for Elementor クロスサイトスクリプティング <= 4.11.8 4.11.9 CVE-2025-4774
Smash Balloon Social Post Feed – Simple Social Feeds for WordPress クロスサイトスクリプティング <= 4.3.1 4.3.2 CVE-2025-4577
Elementor Website Builder Pro クロスサイトスクリプティング <= 3.29.0 3.29.1 CVE-2025-3076
Bunny’s Print CSS クロスサイトリクエストフォージェリ <= 0.95 CVE-2025-5925
Stock Locations for WooCommerce Missing Authorization <= 2.8.6 2.8.7 CVE-2025-47463
LTL Freight Quotes – Day & Ross Edition クロスサイトスクリプティング <= 2.1.10 2.1.11 CVE-2025-5303
Event Booking & Management Plugin for WooCommerce – WpEvently – WordPress Plugin クロスサイトスクリプティング <= 4.4.2 4.4.3 CVE-2025-5568
Essential Addons for Elementor – Popular Elementor Templates and Widgets クロスサイトスクリプティング <= 6.1.12 6.1.13 CVE-2024-9993
Essential Addons for Elementor – Popular Elementor Templates and Widgets クロスサイトスクリプティング <= 6.1.12 6.1.13 CVE-2024-9994
Social Sharing Plugin – Sassy Social Share クロスサイトスクリプティング <= 3.3.75 3.3.76 CVE-2025-5528
Profiler – What Slowing Down Your WP Missing Authentication to Unauthenticated Arbitrary Plugin Reactivation via State Restoration <= 1.0.0 CVE-2025-5814
WP Email Debug 権限昇格 1.0 – 1.2.0 1.2.1 CVE-2025-5486
PayU CommercePro Plugin 認証回避 <= 3.8.5 CVE-2025-31022
BRW – Booking Rental Plugin WooCommerce ローカルファイルインクルージョン <= 1.8.6 1.8.7 CVE-2025-49313
AI Mortgage Calculator ローカルファイルインクルージョン <= 1.0.1 CVE-2023-25995
WP Multilang – Translation and Multilingual Plugin ローカルファイルインクルージョン <= 2.4.19 2.4.19.1 CVE-2025-49307
WP Shopify ローカルファイルインクルージョン <= 1.5.3 CVE-2025-30999
WP Travel Engine – Tour Booking Plugin – Tour Operator Software ローカルファイルインクルージョン <= 6.5.1 6.5.2 CVE-2025-49308
Password Policy Manager | Password Manager 権限昇格 <= 2.0.4 2.0.5 CVE-2025-31019
POEditor クロスサイトリクエストフォージェリ <= 0.9.10 0.9.11 CVE-2025-49237
WP Gravity Forms Constant Contact Plugin オープンリダイレクト <= 1.1.0 CVE-2025-30954
Store Locator WordPress 任意ファイルアップロード <= 1.5.2 1.5.3 CVE-2025-49329
Hive Support | AI-Powered Help Desk, Live Chat & AI Chat Bot Plugin for WordPress Authenticated (Subscriber+) Missing Authorization via hs_update_ai_chat_settings and hive_lite_support_get_all_binbox <= 1.2.4 CVE-2025-5018
WP-Addpub SQLインジェクション <= 1.2.8 CVE-2025-5563
Domain For Sale, Domain appraisal, Domain auction, Domain marketplace – Best Domain For sale Plugin for WordPress クロスサイトスクリプティング <= 3.0.10 3.0.11 CVE-2025-5239
StageShow クロスサイトスクリプティング <= 10.0.3 CVE-2025-5703
Paged Gallery クロスサイトスクリプティング <= 0.7 CVE-2025-5686
Runners Log クロスサイトスクリプティング <= 3.9.2 CVE-2025-5541
WordPress Ajax Load More and Infinite Scroll クロスサイトスクリプティング <= 1.6.0 CVE-2025-5586
Hide It クロスサイトスクリプティング <= 1.0.1 CVE-2025-5565
ESV Bible Shortcode for WordPress クロスサイトスクリプティング <= 1.0.2 CVE-2025-5534
BNS Featured Category クロスサイトスクリプティング <= 2.8.2 CVE-2025-5538
Knowledge Base クロスサイトスクリプティング <= 2.3.0 2.3.1 CVE-2025-5533
Freemind Viewer クロスサイトスクリプティング <= 1.0 CVE-2025-5536
BM Content Builder クロスサイトスクリプティング <= 3.16.2.1 3.16.3 CVE-2025-1777
WP Online Users Stats クロスサイトスクリプティング <= 1.0.0 CVE-2025-4966
Developer Formatter クロスサイトスクリプティング <= 2015.0.2.1 CVE-2025-5699
Hive Support | AI-Powered Help Desk, Live Chat & AI Chat Bot Plugin for WordPress クロスサイトリクエストフォージェリ <= 1.2.4 CVE-2025-5019
Anti-Spam: Spam Protection | Block Spam Users, Comments, Forms クロスサイトリクエストフォージェリ <= 2024.7 CVE-2025-2935
Modern Events Calendar Lite Information Exposure <= 7.21.9 7.22 CVE-2025-5733
Simple History – Track, Log, and Audit WordPress Changes Authenticated (Administrator+) Sensitive Information Exposure via Detective Mode <= 5.8.1 5.8.2 CVE-2025-5760
WP Online Users Stats SQLインジェクション <= 1.0.0 CVE-2025-4964
Viral Loops WP Integration Missing Authorization <= 3.8.1 CVE-2025-28994
Foxit eSign for WordPress Authenticated (Admin+) Information Exposure <= 2.0.3 CVE-2025-49419
HyperComments Unauthenticated (Subscriber+) Arbitrary Options Update <= 1.2.2 CVE-2025-5701
WP User Frontend Pro 任意ファイルアップロード <= 4.1.3 4.1.4 CVE-2025-3054
WP User Frontend Pro 任意ファイル削除 <= 4.1.3 4.1.4 CVE-2025-3055
Spice Blocks 任意ファイルダウンロード <= 2.0.7.2 CVE-2025-48130
Forminator Forms – Contact Form, Payment Form & Custom Form Builder クロスサイトスクリプティング <= 1.44.1 1.44.2 CVE-2025-5341
Motors – Events ローカルファイルインクルージョン <= 1.4.7 CVE-2025-47586
Seofy Core ローカルファイルインクルージョン <= 1.4.5 CVE-2025-39473
Sunshine Photo Cart: Free Client Photo Galleries for Photographers 権限昇格 <= 3.4.11 3.4.12 CVE-2025-5482
Simple Contact Form Plugin for WordPress – WP Easy Contact クロスサイトスクリプティング <= 4.0.0 4.0.1 CVE-2025-5539
Campus Directory – Faculty, Staff & Student Directory Plugin for WordPress クロスサイトスクリプティング <= 1.9.0 1.9.1 CVE-2025-5532
Employee Directory – Staff Listing & Team Directory Plugin for WordPress クロスサイトスクリプティング <= 4.5.0 4.5.1 CVE-2025-5531
EZ SQL Reports Shortcode Widget and DB Backup クロスサイトスクリプティング <= 5.25.11 5.25.25 CVE-2025-6462
PT Project Notebooks – Take Meeting minutes, create budgets, track task management, and more 権限昇格 1.0.0 – 1.1.3 CVE-2025-5304
Game Users Share Buttons 任意ファイル削除 <= 1.3.0 CVE-2025-6755
BeeTeam368 Extensions Pro ディレクトリトラバーサル <= 2.3.4 2.3.5 CVE-2025-6379
BeeTeam368 Extensions ディレクトリトラバーサル <= 2.3.4 2.3.5 CVE-2025-6381
Qi Addons For Elementor クロスサイトスクリプティング <= 1.9.1 1.9.2 CVE-2025-6252
WP VR – 360 Panorama and Free Virtual Tour Builder For WordPress クロスサイトスクリプティング <= 8.5.32 8.5.33 CVE-2025-6350
MicroPayments – Fans Paysite: Paid Creator Subscriptions, Digital Assets, Wallet クロスサイトリクエストフォージェリ <= 3.2.0 3.2.1 CVE-2025-5937
Simple Payment 認証回避 1.3.6 – 2.3.8 2.3.9 CVE-2025-6688
Ninja Tables – Easy Data Table Builder サーバーサイドリクエストフォージェリ <= 5.0.18 5.0.19 CVE-2025-2940
Osom Blocks クロスサイトスクリプティング <= 1.2.1 CVE-2025-5940
FL3R Accessibility Suite クロスサイトスクリプティング <= 1.4 CVE-2025-6689
A/B Testing for WordPress クロスサイトスクリプティング <= 1.18.2 CVE-2025-4587
isMobile() Shortcode for WordPress クロスサイトスクリプティング <= 1.1.1 1.1.2 CVE-2025-6488
Ninja Forms – The Contact Form Builder That Grows With You クロスサイトスクリプティング <= 3.10.2.1 3.10.2.2 CVE-2025-5398
The Pack Elementor addon クロスサイトスクリプティング <= 2.1.3 CVE-2025-6550
VR Calendar クロスサイトリクエストフォージェリ <= 2.4.7 CVE-2025-5936
Simple User Registration 権限昇格 <= 6.3 CVE-2025-4334
Owl carousel responsive SQLインジェクション <= 1.9 CVE-2025-5590
Ultra Addons for Contact Form 7 クロスサイトスクリプティング 3.5.11 – 3.5.19 3.5.20 CVE-2025-6212
Royal Elementor Addons and Templates クロスサイトスクリプティング <= 1.7.1024 1.7.1025 CVE-2025-5338
Modern Design Library クロスサイトスクリプティング <= 1.1.4 1.1.5 CVE-2025-5842
Drive Folder Embedder クロスサイトスクリプティング <= 1.1.0 CVE-2025-6546
web-cam クロスサイトスクリプティング <= 1.0 CVE-2025-6540
Namasha By Mdesign クロスサイトスクリプティング <= 1.2.00 CVE-2025-6537
The Countdown – Block Countdown Timer クロスサイトスクリプティング <= 2.0.1 CVE-2025-5929
Post Rating and Review クロスサイトスクリプティング <= 1.3.4 CVE-2025-6538
WP-PhotoNav クロスサイトスクリプティング <= 1.2.2 CVE-2025-6383
GC Social Wall クロスサイトスクリプティング <= 1.15 CVE-2025-5564
Amazon Products to WooCommerce Missing Authorization to Unauthenticated Arbitrary Product Creation <= 1.2.7 CVE-2025-5813
Charitable – Donation Plugin for WordPress – Fundraising with Recurring Donations & More クロスサイトスクリプティング <= 1.8.6.1 1.8.6.2 CVE-2025-5275
Homerunner クロスサイトリクエストフォージェリ <= 1.0.29 CVE-2025-5932
VG WORT METIS Missing Authorization to Authenticated (Subscriber+) Limited Settings Update <= 2.0.0 CVE-2025-5812
Everest Forms Pro パストラバーサル <= 1.9.4 1.9.5 CVE-2025-5927
SiteOrigin Widgets Bundle クロスサイトスクリプティング <= 1.68.5 1.69.0 CVE-2025-5585
Aiomatic – Automatic AI Content Writer & Editor, GPT-3 & GPT-4, ChatGPT ChatBot & AI Toolkit 任意ファイルアップロード <= 2.5.0 2.5.1 CVE-2025-6206
Conference Scheduler クロスサイトスクリプティング <= 2.5.1 2.5.2 CVE-2025-5258
3D FlipBook – PDF Embedder, PDF Flipbook Viewer, Flipbook Image Gallery クロスサイトスクリプティング <= 1.16.15 1.16.16 CVE-2025-5289
TableOn – WordPress Posts Table Filterable クロスサイトスクリプティング <= 1.0.4.1 1.0.4.2 CVE-2025-5143
Shared Files – Frontend File Upload Form & Secure File Sharing クロスサイトスクリプティング <= 1.7.48 1.7.49 CVE-2025-4392
wpForo + wpForo Advanced Attachments クロスサイトスクリプティング <= 3.1.3 3.2.0 CVE-2025-4224
Music Player for Elementor – Audio Player & Podcast Player クロスサイトスクリプティング <= 2.4.6 2.4.7 CVE-2025-5340
Popup Maker – Boost Sales, Conversions, Optins, Subscribers with the Ultimate WP Popups Builder クロスサイトスクリプティング <= 1.20.4 1.20.5 CVE-2025-4205
User Profile Builder – Beautiful User Registration Forms, User Profiles & User Role Editor クロスサイトスクリプティング <= 3.13.8 3.13.9 CVE-2025-4671
Vayu Blocks – Website Builder for the Block Editor クロスサイトスクリプティング <= 1.3.1 1.3.2 CVE-2025-4420
Bit File Manager – 100% Free & Open Source File Manager and Code Editor for WordPress クロスサイトスクリプティング <= 6.7 6.8 CVE-2025-1725
WP Plugin Info Card クロスサイトスクリプティング <= 5.3.1 5.4.0 CVE-2025-5116
WordPress Comments Import & Export クロスサイトスクリプティング <= 2.4.3 2.4.4 CVE-2025-3919
Ninja Tables – Easy Data Table Builder リモートコード実行 <= 5.0.18 5.0.19 CVE-2025-2939
Ultimate Gift Cards for WooCommerce SQLインジェクション <= 3.1.4 3.1.5 CVE-2025-5103
Broken Link Checker Missing Autorization to Authenticated (Subscriber+) Plugin Status Dashboard View <= 2.4.4 2.4.5 CVE-2025-4047
HUSKY – Products Filter Professional for WooCommerce ローカルファイルインクルージョン <= 1.3.7 1.3.7.1 CVE-2025-52708
Beaver Builder Plugin (Starter Version) 任意ファイルアップロード <= 2.9.1 2.9.1.1 CVE-2025-4102
Euro FxRef Currency Converter クロスサイトスクリプティング <= 2.0.2 2.0.3 CVE-2025-6257
AI Engine 権限昇格 2.8.0 – 2.8.3 2.8.4 CVE-2025-5071
Gutenverse News – Advanced News Magazine Blog Gutenberg Blocks Addons クロスサイトスクリプティング <= 1.0.4 2.0.0 CVE-2025-5234
Download Manager クロスサイトスクリプティング <= 3.3.18 3.3.19 CVE-2025-4367
ElementsKit Elementor Addons and Templates クロスサイトスクリプティング <= 3.5.2 3.5.3 CVE-2025-4479
Pixel Manager for WooCommerce – Track Conversions and Analytics, Google Ads, TikTok and more クロスサイトスクリプティング <= 1.49.0 1.49.1 CVE-2025-6201
WPBakery Page Builder for WordPress クロスサイトスクリプティング <= 8.4.1 8.5 CVE-2025-4965
Football Pool クロスサイトスクリプティング <= 2.12.4 2.12.5 CVE-2025-5490
GiveWP – Donation Plugin and Fundraising Platform Missing Authorization To Authenticated (Contributor+) Campaign Data View And Modification <= 4.3.0 4.3.1 CVE-2025-4571
FunnelKit Automations – Email Marketing Automation and CRM for WordPress & WooCommerce Missing Authorization to Unauthenticated Arbitrary Plugin Installation <= 3.5.3 3.6.0 CVE-2025-1562
Pixabay Images 任意ファイルアップロード <= 3.4 CVE-2025-4413
Ultra Addons for Contact Form 7 任意ファイルアップロード <= 3.5.12 3.5.13 CVE-2025-6220
CSV Me 任意ファイルアップロード <= 2.0 CVE-2025-6086
Target Video Easy Publish クロスサイトスクリプティング <= 3.8.5 3.8.6 CVE-2025-5237
WP Zoho for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms – CRM, Bigin Unauthenticated PHP Object Injection <= 1.3.0 1.3.1 CVE-2025-49330
Drag and Drop Multiple File Upload for Contact Form 7 任意ファイルアップロード <= 1.3.8.9 1.3.9.0 CVE-2025-3515
Wise Chat クロスサイトスクリプティング <= 3.3.4 3.3.5 CVE-2025-3774
Blog2Social: Social Media Auto Post & Scheduler SQLインジェクション <= 8.4.4 8.4.5 CVE-2025-5673
Master Slider – Responsive Touch Slider クロスサイトスクリプティング <= 3.10.8 3.10.9 CVE-2025-5291
Simple Logo Carousel クロスサイトスクリプティング <= 1.9.3 1.9.4 CVE-2025-5700
WordPress Infinite Scroll – Ajax Load More クロスサイトスクリプティング <= 7.4.0.1 7.4.1 CVE-2025-4775
Poll, Survey & Quiz Maker Plugin by Opinion Stage Incorrect Authorization to Authenticated (Contributor+) Plugin Settings Update <= 19.9.0 19.10.0 CVE-2025-3880
Image Resizer On The Fly 任意ファイル削除 <= 1.1 CVE-2025-6065
AutomatorWP – Automator plugin for no-code automations, webhooks & custom integrations in WordPress SQLインジェクション <= 5.2.5 5.2.6 CVE-2025-5487
File Manager Pro – Filester 任意ファイルアップロード <= 1.8.8 1.8.9 CVE-2025-3234
Restrict File Access Authenticated (Subscriber+) Arbitrary File Read <= 1.1.2 CVE-2025-6070
Slider, Gallery, and Carousel by MetaSlider – Image Slider, Video Slider クロスサイトスクリプティング <= 3.98.0 3.99.0 CVE-2025-5337
YITH WooCommerce Wishlist クロスサイトスクリプティング <= 4.5.0 4.6.0 CVE-2025-5238
Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin クロスサイトスクリプティング <= 1.6.8.30 1.6.8.32 CVE-2025-4667
StreamWeasels Kick Integration クロスサイトスクリプティング <= 1.1.3 1.1.4 CVE-2025-5589
Click to Chat – HoliThemes クロスサイトスクリプティング <= 4.22 4.23 CVE-2025-5336
DIOT SCADA with MQTT クロスサイトスクリプティング <= 1.0.5.1 CVE-2025-4216
kk Youtube Video クロスサイトスクリプティング <= 0.2 CVE-2025-6061
XiSearch bar クロスサイトスクリプティング <= 2.6 CVE-2025-6063
WP URL Shortener クロスサイトスクリプティング <= 1.2 CVE-2025-6064
Zen Sticky Social クロスサイトスクリプティング <= 0.3 CVE-2025-6055
Easy Flashcards クロスサイトスクリプティング <= 0.1 CVE-2025-6040
UserPro – Community and User Profile WordPress Plugin Unauthenticated Arbitrary File Read <= 5.1.10 CVE-2025-4187
Yougler Blogger Profile Page クロスサイトリクエストフォージェリ <= v1.01 CVE-2025-6062
AI Image Lab – Free AI Image Generator クロスサイトリクエストフォージェリ <= 1.0.6 CVE-2025-4592
FW Food Menu – Responsive food menu with ordering & delivery solutions 任意ファイルアップロード <= 6.0.0 CVE-2025-49447
REST API | Custom API Generator For Cross Platform And Import Export In WP 権限昇格 1.0.0 – 2.0.3 CVE-2025-5288
WP VR – 360 Panorama and Free Virtual Tour Builder For WordPress 任意ファイルアップロード <= 8.5.26 8.5.27 CVE-2025-47452
MapSVG 任意ファイルアップロード <= 8.5.32 CVE-2025-47559
WPGYM – WordPress Gym Management System ローカルファイルインクルージョン <= 65.0 CVE-2025-32549
School Management System for WordPress ローカルファイルインクルージョン <= 93.0.0 CVE-2025-47572
WP Travel Engine – Tour Booking Plugin – Tour Operator Software Missing Authorization to Unauthenticated Arbitrary Post Deletion <= 6.5.1 6.5.2 CVE-2025-5282
WPCRM – CRM for Contact form CF7 & WooCommerce SQLインジェクション <= 3.2.0 CVE-2025-24773
PostaPanduri SQLインジェクション <= 2.1.3 CVE-2025-49452
IRM Newsroom クロスサイトスクリプティング <= 1.2.17 CVE-2025-4586
IRM Newsroom クロスサイトスクリプティング <= 1.2.17 CVE-2025-4584
IRM Newsroom クロスサイトスクリプティング <= 1.2.17 CVE-2025-4585
Color Palette クロスサイトスクリプティング <= 4.3.2 CVE-2025-5233
IndieBlocks クロスサイトスクリプティング <= 0.13.2 0.13.3 CVE-2025-5950
Contact Us Page – Contact People クロスサイトスクリプティング <= 3.7.4 CVE-2025-5123
ACF Onyx Poll クロスサイトスクリプティング <= 1.1.9 1.2.0 CVE-2025-5841
Game Review Block クロスサイトスクリプティング <= 4.8.1 4.8.2 CVE-2025-5923
Link Shield クロスサイトスクリプティング <= 0.5.4 CVE-2025-5926
Auto Attachments クロスサイトスクリプティング <= 1.8.5 CVE-2025-6012
Traffic Monitor Missing Authorization to Unauthenticated Settings Update <= 3.2.2 3.2.3 CVE-2025-5815
Digital Marketing and Agency Templates Addons for Elementor クロスサイトリクエストフォージェリ <= 1.1.1 CVE-2025-5938
Telegram for WP クロスサイトスクリプティング <= 1.6.1 CVE-2025-5939
WP2HTML クロスサイトリクエストフォージェリ <= 1.0.2 CVE-2025-5930
WP Sliding Login/Dashboard Panel クロスサイトリクエストフォージェリ <= 2.1.1 CVE-2025-5928
Workreap 認証回避 <= 3.3.1 3.3.2 CVE-2025-4973
ReFormer – Multichannel Contact Form for Elementor 任意ファイルアップロード <= 1.0.5 CVE-2025-49444
Ovatheme Events Manager 任意ファイルアップロード <= 1.7.5 CVE-2025-32510
Workreap 任意ファイルアップロード <= 3.3.2 3.3.3 CVE-2025-5012
Axle Demo Importer 任意ファイルアップロード <= 1.0.3 CVE-2025-4954
WP Job Portal – AI-Powered Recruitment System for Company or Job Board website SQLインジェクション <= 2.3.2 2.3.3 CVE-2025-48274
Smart Notification WordPress Plugin. Web & Mobile Push, FB Messenger, FB Notifications & Newsletter. SQLインジェクション <= 10.3 CVE-2025-39479
School Management System for WordPress SQLインジェクション <= 92.0.0 CVE-2025-47573
WordPress Single Sign-On (SSO) – Multisite All-Inclusive Multiple Versions – Incorrect Authorization to Sensitive Information Exposure <= 50.5.3 50.5.4 CVE-2025-6003
FW Gallery – Photo, video, audio media presentation and management system with players and slideshow 任意ファイル削除 <= 8.0.0 CVE-2025-49415
CubeWP – All-in-One Dynamic Content Framework 権限昇格 <= 1.1.23 1.1.24 CVE-2025-4315
WordPress Automatic Plugin 任意ファイルアップロード <= 3.115.0 3.116.0 CVE-2025-5395
WP-DownloadManager 任意ファイル削除 <= 1.68.10 1.68.11 CVE-2025-4799
Xagio SEO – AI Powered SEO クロスサイトスクリプティング <= 7.1.0.16 7.1.0.17 CVE-2025-3302
Zotpress クロスサイトスクリプティング <= 7.3.15 CVE-2025-4666
The Events Calendar クロスサイトスクリプティング <= 6.13.2 6.13.2.1 CVE-2025-5144
WP-DownloadManager Authenticated (Administrator+) Arbitrary File Read <= 1.68.10 1.68.11 CVE-2025-4798
Devnex Addons For Elementor ローカルファイルインクルージョン <= 1.0.9 CVE-2025-53339
re.place クロスサイトリクエストフォージェリ <= 0.2.1 CVE-2025-53338
Track Everything クロスサイトリクエストフォージェリ <= 2.0.1 CVE-2025-53332
RSS Digest クロスサイトリクエストフォージェリ <= 1.5 CVE-2025-53331
Społecznościowa 6 PL 2013 クロスサイトリクエストフォージェリ <= 2.0.6 CVE-2025-53329
WPShapere – WordPress admin theme クロスサイトリクエストフォージェリ <= 1.4.1 CVE-2025-53317
My Resume Builder クロスサイトスクリプティング <= 1.0.3 CVE-2025-53336
Raise The Money クロスサイトスクリプティング <= 5.2 CVE-2025-53321
Free Downloads EDD クロスサイトスクリプティング <= 1.0.4 CVE-2025-53320
Beauty Contact Popup Form クロスサイトスクリプティング <= 6.0 CVE-2025-53325
WP DB Booster アクセス制御の不備 <= 1.0.1 CVE-2025-53318
Accept Authorize.NET Payments Using Contact Form 7 機密データ露出 <= 2.5 CVE-2025-53322
Aioseo Multibyte Descriptions クロスサイトリクエストフォージェリ <= 0.0.6 CVE-2025-53327
Pre-Publish Post Checklist アクセス制御の不備 <= 3.1 CVE-2025-53323
eCommerce Product Catalog PHP Object Injection Vulnerability <= 3.4.3 3.4.4 CVE-2025-49331
WPThumb サーバーサイドリクエストフォージェリ <= 0.10 CVE-2025-49983
eDS Responsive Menu アクセス制御の不備 <= 1.2 CVE-2025-49971
TM Replace Howdy クロスサイトリクエストフォージェリ <= 1.4.2 CVE-2025-49972
Image Sizes Controller, Create Custom Image Sizes, Disable Image Sizes アクセス制御の不備 <= 1.0.10 CVE-2025-49973
UpStream: a Project Management アクセス制御の不備 <= 2.1.0 CVE-2025-49974
JobWP クロスサイトリクエストフォージェリ <= 2.4.0 2.4.1 CVE-2025-49975
WANotifier アクセス制御の不備 <= 2.7.9 CVE-2025-49976
WP Inventory Manager クロスサイトリクエストフォージェリ <= 2.3.4 CVE-2025-49977
JobSearch 安全でない直接オブジェクト参照 <= 2.9.0 CVE-2025-49978
Media Hygiene アクセス制御の不備 <= 4.0.1 CVE-2025-49979
WP User Profile Avatar アクセス制御の不備 <= 1.0.6 CVE-2025-49980
User Roles and Capabilities アクセス制御の不備 <= 1.2.6 CVE-2025-49981
WP Customer Area アクセス制御の不備 <= 8.2.5 CVE-2025-49982
ClipLink クロスサイトリクエストフォージェリ <= 1.1 CVE-2025-49964
PixelBeds Channel Manager and Hotel Booking Engine クロスサイトリクエストフォージェリ <= 1.0 CVE-2025-49965
Oganro Travel Portal Search Widget for HotelBeds APITUDE API クロスサイトリクエストフォージェリ <= 1.0 CVE-2025-49966
Live Sports Streamthunder クロスサイトリクエストフォージェリ <= 2.1 CVE-2025-49967
XML Travel Portal Widget クロスサイトリクエストフォージェリ <= 2.0 CVE-2025-49968
Zara 4 Image Compression アクセス制御の不備 <= 1.2.17.2 CVE-2025-49969
tarteaucitron.js – Cookies legislation & GDPR クロスサイトスクリプティング < 1.9.5 1.9.5 CVE-2025-4955
Breeze アクセス制御の不備 <= 2.2.13 2.2.14 CVE-2025-23999
WP2LEADS クロスサイトスクリプティング <= 3.5.0 3.5.1 CVE-2025-49316
Ivory Search クロスサイトスクリプティング < 5.5.10 5.5.10 CVE-2025-5209
CubeWP Framework クロスサイトスクリプティング <= 1.1.23 1.1.24 CVE-2025-49882
Responsive Blocks クロスサイトスクリプティング <= 2.0.5 2.0.6 CVE-2025-49881
WPAdverts クロスサイトスクリプティング <= 2.2.4 2.2.5 CVE-2025-49878
If-So Dynamic Content Personalization クロスサイトスクリプティング <= 1.9.3.1 1.9.3.2 CVE-2025-49875
Advanced Sermons クロスサイトスクリプティング <= 3.6 3.7 CVE-2025-49863
WP Views Counter クロスサイトスクリプティング <= 2.0.3 2.0.4 CVE-2025-49859
Arconix Shortcodes クロスサイトスクリプティング <= 2.1.17 2.1.18 CVE-2025-49858
Kama Click Counter クロスサイトスクリプティング <= 4.0.3 4.0.4 CVE-2025-49861
Meks Flexible Shortcodes クロスサイトスクリプティング <= 1.3.7 1.3.8 CVE-2025-49855
Noptin クロスサイトスクリプティング <= 3.8.7 4.0.0 CVE-2025-49871
myCred アクセス制御の不備 <= 2.9.4.2 2.9.4.3 CVE-2025-49872
AFS Analytics アクセス制御の不備 <= 4.21 4.22 CVE-2025-49864
Majestic Support アクセス制御の不備 <= 1.1.0 1.1.1 CVE-2025-49860
ProfileGrid サーバーサイドリクエストフォージェリ <= 5.9.5.2 5.9.5.3 CVE-2025-49877
Automation By Autonami オープンリダイレクト <= 3.6.0 3.6.1 CVE-2025-49868
CubeWP Forms アクセス制御の不備 <= 1.1.5 1.1.6 CVE-2025-49880
Arconix FAQ アクセス制御の不備 <= 1.9.6 1.9.7 CVE-2025-49874
myCred アクセス制御の不備 <= 2.9.4.2 2.9.4.3 CVE-2025-49857
Advanced Settings クロスサイトリクエストフォージェリ <= 3.0.1 3.0.2 CVE-2025-49865
Responsive Plus クロスサイトリクエストフォージェリ <= 3.2.2 3.2.3 CVE-2025-49856
TicketBAI Facturas para WooCommerce SQLインジェクション <= 3.19 3.21 CVE-2025-24767
CLEVER 任意ファイルダウンロード <= 2.6 CVE-2025-31635
Broadstreet Ads クロスサイトスクリプティング < 1.51.8 1.51.8 CVE-2025-4652
NewsLetter クロスサイトスクリプティング < 8.8.5 8.8.5 CVE-2025-3581
Civi Framework クロスサイトリクエストフォージェリ <= 2.1.6 2.1.6.4 CVE-2025-49511
Audio Editor & Recorder アクセス制御の不備 <= 2.2.1 2.2.2 CVE-2025-49509
Min Max Step Quantity Limits Manager for WooCommerce クロスサイトリクエストフォージェリ <= 5.1.0 5.1.1 CVE-2025-49510
Art Theme Missing Authorization to Authenticated (Subscriber+) Theme Option Delete vulnerability <= 3.12.2.3 3.12.3 CVE-2025-1778
WP Text Expander SQLインジェクション <= 1.0.1 CVE-2025-49421
Konami Easter Egg クロスサイトリクエストフォージェリ <= v0.4 CVE-2025-49425
BP Profile as Homepage クロスサイトスクリプティング <= 1.1 CVE-2025-49453
Abbie Expander クロスサイトスクリプティング <= 1.0.1 CVE-2025-49427
Video Embeds クロスサイトスクリプティング <= 0.1.1 CVE-2025-49429
Simple Nested Menu クロスサイトスクリプティング <= 1.0 CVE-2025-49442
Bacon Ipsum クロスサイトスクリプティング <= 2.4 CVE-2025-49443
SEPA Girocode クロスサイトスクリプティング <= 0.5.1 CVE-2025-49450
Sola Support Ticket Arbitrary Content Deletion Vulnerability <= 3.18 CVE-2023-25997
Bang tinh vay クロスサイトスクリプティング <= 1.0.1 CVE-2023-26000
Next Event Calendar クロスサイトスクリプティング <= 1.2 CVE-2023-26001
Interactive Regional Map of Florida アクセス制御の不備 <= 1.0 CVE-2025-49441
Wp Easy Allopass クロスサイトリクエストフォージェリ <= 4.1.1 CVE-2025-49435
Atelier Create CV クロスサイトリクエストフォージェリ <= 1.1.5 CVE-2025-49439
WP Security Master クロスサイトリクエストフォージェリ <= 1.0.2 CVE-2025-49440
Interactive UK Regional Map クロスサイトリクエストフォージェリ <= 2.0 CVE-2025-49445
Admin Notes クロスサイトリクエストフォージェリ <= 1.1 CVE-2025-49446
Interactive Regional Map of Africa クロスサイトリクエストフォージェリ <= 1.0 CVE-2025-49449
FancyBox for WordPress クロスサイトスクリプティング < 3.3.6 3.3.6 CVE-2025-3662
Post Slider and Carousel with Widget – A Responsive Post Slider クロスサイトスクリプティング < 3.2.10 3.2.10 CVE-2025-4567
NewsLetter クロスサイトスクリプティング < 8.8.2 8.8.2 CVE-2025-3584
WP-Optimize SQLインジェクション < 4.2.0 4.2.0 CVE-2025-3951
Newsletters ローカルファイルインクルージョン <= 4.9.9.9 4.10 CVE-2025-4857
Real Cookie Banner Pro クロスサイトスクリプティング < 5.1.6 5.1.6 CVE-2025-1485
Contact Forms by Cimatti クロスサイトリクエストフォージェリ <= 1.9.8 1.9.9 CVE-2025-49069
Wishlist クロスサイトスクリプティング <= 1.0.43 1.0.44 CVE-2025-49075
The Plus Addons for Elementor Page Builder Lite クロスサイトスクリプティング <= 6.2.7 6.2.8 CVE-2025-49076
EU/UK VAT Manager for WooCommerce クロスサイトスクリプティング <= 4.4.2 4.4.3 CVE-2025-47504
Malcure Malware Scanner — #1 Toolset for WordPress Malware Removal Missing Authorization to Authenticated (Subscriber+) Arbitrary File Read <= 16.8 16.9

テーマ

名称 脆弱性の種類 対象ver. パッチ済ver. 重要度 CVE ID
solar Authenticated (Subscriber+) PHP Object Injection <= 3.5 CVE-2025-32283
nrgfashion Unauthenticated PHP Object Injection <= 1.4.4 CVE-2025-31052
wilmer ローカルファイルインクルージョン < 3.4.2 3.4.2 CVE-2025-39494
enzio ローカルファイルインクルージョン <= 1.1.8 CVE-2025-31912
oxpitan ローカルファイルインクルージョン <= 1.3.1 CVE-2025-32294
kiamo ローカルファイルインクルージョン <= 1.3.3 CVE-2025-31633
realhomes 権限昇格 <= 4.4.0 4.4.1 CVE-2025-4601
car-repair-services サーバーサイドリクエストフォージェリ <= 5.0 CVE-2025-30997
art-theme Missing Authorization to Authenticated (Subscriber+) Theme Option Delete <= 3.12.2.3 3.12.3 CVE-2025-1778
press-grid Unauthenticated PHP Object Injection <= 1.3.1 CVE-2025-31429
revo ローカルファイルインクルージョン <= 4.0.26 CVE-2025-39476
pimp Unauthenticated PHP Object Injection <= 1.7 CVE-2025-31398
flap Unauthenticated PHP Object Injection <= 1.5 CVE-2025-31396
arlo ローカルファイルインクルージョン <= 6.0.3 CVE-2025-39475
sweet-dessert Unauthenticated PHP Object Injection < 1.1.13 1.1.13 CVE-2025-49073
krowd ローカルファイルインクルージョン <= 1.4.1 CVE-2025-32595
dwt-listing Unauthenticated Arbitrary User Password Reset <= 3.3.6 3.3.7 CVE-2024-12827
golo 認証回避 <= 1.7.0 1.7.1 CVE-2025-4797
oceanwp クロスサイトスクリプティング <= 4.0.9 4.1.0 CVE-2025-5524
bw-zagg ローカルファイルインクルージョン <= 1.4.1 CVE-2025-4200
dsk ローカルファイルインクルージョン <= 2.2 CVE-2025-24761
snssimen ローカルファイルインクルージョン <= 4.6 CVE-2025-29002
flozen-theme 任意ファイルアップロード < 1.5.1 1.5.1 CVE-2025-49071
hara ローカルファイルインクルージョン <= 1.2.10 1.2.11 CVE-2025-49259
nika ローカルファイルインクルージョン <= 1.2.8 1.2.9 CVE-2025-49254
zota ローカルファイルインクルージョン <= 1.3.8 1.3.9 CVE-2025-49257
diza ローカルファイルインクルージョン <= 1.3.8 1.3.9 CVE-2025-49261
besa ローカルファイルインクルージョン <= 2.3.8 2.3.10 CVE-2025-49252
fana ローカルファイルインクルージョン <= 1.1.28 1.1.29 CVE-2025-49251
snsevon ローカルファイルインクルージョン <= 3.4 CVE-2025-28991
lasa ローカルファイルインクルージョン <= 1.1 1.1.1 CVE-2025-49253
aora ローカルファイルインクルージョン <= 1.3.9 1.3.10 CVE-2025-49260
cozystay ローカルファイルインクルージョン < 1.7.1 1.7.1 CVE-2025-49508
sapa ローカルファイルインクルージョン <= 1.1.14 1.1.15 CVE-2025-49256
ruza ローカルファイルインクルージョン <= 1.0.7 1.0.8 CVE-2025-49255
maia ローカルファイルインクルージョン <= 1.1.15 1.1.16 CVE-2025-49258
Hello FSE Blog アクセス制御の不備 <= 1.0.6 CVE-2025-49970
TinySalt PHP Object Injection Vulnerability < 3.10.0 3.10.0 CVE-2025-49455
CozyStay PHP Object Injection Vulnerability < 1.7.1 1.7.1 CVE-2025-49507

対応方法

  • パッチが提供されたバージョンはアップデートしましょう。
  • 特に重要度が高のものは確実にアップデートしておきましょう。

カテゴリ:
タグ:

WordPress × 4つまで
お問い合わせ
お申し込み