WordPress脆弱性情報：2025年11月分

2025年11月に確認されたWordPress関連の脆弱性情報です。

プラグイン378件、テーマ12件、合計390件の脆弱性が報告されています。

プラグイン

名称	脆弱性の種類	対象ver.	パッチ済ver.	重要度	CVE ID
StreamTube Core	Unauthenticated Arbitrary User Password Change	<= 4.78	4.79	高	CVE-2025-13615
Nextend Social Login and Register	クロスサイトリクエストフォージェリ	<= 3.1.21	3.1.22	中	CVE-2025-13737
Tiare Membership	権限昇格	<= 1.2	1.3	高	CVE-2025-13540
FindAll Membership	認証回避	<= 1.0.4	1.1	高	CVE-2025-13539
FindAll Listing	権限昇格	<= 1.0.5	1.1	高	CVE-2025-13538
PowerPress Podcasting plugin by Blubrry	任意ファイルアップロード	<= 11.15.2	11.15.3	高	CVE-2025-13536
SKT PayPal for WooCommerce	Unauthenticated Payment Bypass	<= 1.4	1.5	高	CVE-2025-7820
Unlimited Elements For Elementor	クロスサイトスクリプティング	<= 2.0	2.0.1	高	CVE-2025-13692
AI ChatBot with ChatGPT and Content Generator by AYS	サーバーサイドリクエストフォージェリ	<= 2.7.0	2.7.1	中	CVE-2025-13378
Simple Folio	クロスサイトスクリプティング	<= 1.1.0	1.1.1	中	CVE-2025-12151
SortTable Post	クロスサイトスクリプティング	<= 4.2	–	中	CVE-2025-12649
Shouty	クロスサイトスクリプティング	<= 0.2.1	–	中	CVE-2025-12712
Google Drive upload and download link	クロスサイトスクリプティング	<= 1.0	–	中	CVE-2025-12666
Soundslides	クロスサイトスクリプティング	<= 1.4.2	–	中	CVE-2025-12713
wp-twitpic	クロスサイトスクリプティング	<= 1.0	–	中	CVE-2025-12670
Customer Reviews Collector for WooCommerce	クロスサイトスクリプティング	<= 4.6.1	4.7	中	CVE-2025-12123
WP Directory Kit	クロスサイトスクリプティング	<= 1.4.5	1.4.6	中	CVE-2025-13525
Reuters Direct	Missing Authorization to Unauthenticated Settings Reset	<= 3.0.0	–	中	CVE-2025-12579
AI ChatBot with ChatGPT and Content Generator by AYS	ファイルアップロード	<= 2.7.0	2.7.1	中	CVE-2025-13381
QODE Wishlist for WooCommerce	安全でない直接オブジェクト参照	<= 1.2.7	1.2.8	中	CVE-2025-13157
Hide Category by User Role for WooCommerce	Missing Authorization to Unauthenticated Cache Flushing	<= 2.3.1	2.3.2	中	CVE-2025-13441
StaffList	クロスサイトスクリプティング	<= 3.2.6	3.2.7	中	CVE-2025-12185
Reuters Direct	クロスサイトリクエストフォージェリ	<= 3.0.0	–	中	CVE-2025-12578
Folders – Unlimited Folders to Organize Media Library Folder, Pages, Posts, File Manager	Incorrect Authorization to Authenticated (Contributor+) Folder Content Manipulation	<= 3.1.5	3.1.6	中	CVE-2025-12971
WP Fastest Cache	Missing Authorization to Authenticated (Subscriber+) DB Cleanup Actions	<= 1.4.0	1.4.1	中	CVE-2025-10476
Poll, Survey & Quiz Maker Plugin by Opinion Stage	クロスサイトリクエストフォージェリ	<= 19.12.0	19.12.1	中	CVE-2025-13143
AI Feeds	任意ファイルアップロード	<= 1.0.11	1.0.12	高	CVE-2025-13597
CIBELES AI	任意ファイルアップロード	<= 1.10.8	1.10.9	高	CVE-2025-13595
EduKart Pro	権限昇格	<= 1.0.3	–	高	CVE-2025-13559
Sneeit Framework	リモートコード実行	<= 8.3	8.4	高	CVE-2025-6389
Mstore Mobile App	–	<= 2.08	–	高	CVE-2025-11127
Telegram Bot & Channel	クロスサイトスクリプティング	<= 4.1	4.1.1	高	CVE-2025-13068
ProjectList	任意ファイルアップロード	<= 0.3.0	–	高	CVE-2025-13376
Wishlist for WooCommerce	安全でない直接オブジェクト参照	<= 1.1.3	1.1.4	中	CVE-2025-12040
AI Engine for WordPress: ChatGPT, GPT Content Generator	Authenticated (Contributor+) Arbitrary File Read	<= 1.0.1	–	中	CVE-2025-13380
Inline frame – Iframe	クロスサイトスクリプティング	<= 0.1	–	中	CVE-2025-12645
Job Board by BestWebSoft	クロスサイトスクリプティング	<= 1.2.1	1.2.2	中	CVE-2025-13383
Admin and Customer Messages After Order for WooCommerce: OrderConvo	情報開示	<= 14	–	中	CVE-2025-13389
Chamber Dashboard Business Directory	Missing Authorization to Unauthenticated Business Information Export	<= 3.3.11	–	中	CVE-2025-13414
Locker Content	Unauthenticated Information Exposure	<= 1.0.0	1.0.1	中	CVE-2025-12525
Autochat Automatic Conversation	Missing Authorization to Unauthenticated Settings Update	<= 1.1.9	–	中	CVE-2025-12043
Social Images Widget	Missing Authorization to Unauthenticated Arbitrary Plugin Settings Deletion	<= 2.1	–	中	CVE-2025-13386
Ace Post Type Builder	Missing Authorization to Authenticated (Subscriber+) Arbitrary Custom Taxonomy Deletion via 'taxonomy' Parameter	<= 1.9	2.0	中	CVE-2025-13405
ProjectList	SQLインジェクション	<= 0.3.0	–	中	CVE-2025-13370
Bookme – Free Online Appointment Booking and Scheduling Plugin	SQLインジェクション	<= 4.2	–	中	CVE-2025-13385
YouTube Subscribe	クロスサイトスクリプティング	<= 3.0.0	–	中	CVE-2025-12025
Just Highlight	クロスサイトスクリプティング	<= 1.0.3	–	中	CVE-2025-13311
Zweb Social Mobile – Ứng Dụng Nút Gọi Mobile	クロスサイトスクリプティング	<= 1.0.0	–	中	CVE-2025-12032
Admin and Customer Messages After Order for WooCommerce: OrderConvo	Missing Authorization to Unauthenticated User Impersonation in Order Messages	<= 14	–	中	CVE-2025-13452
Refund Request for WooCommerce	Missing Authorization to Authenticated (Subscriber+) Refund Status Update	<= 1.0	–	中	CVE-2025-12634
Frontend File Manager Plugin	安全でない直接オブジェクト参照	<= 23.4	23.5	中	CVE-2025-13382
Conditionnal Maintenance Mode for WordPress	クロスサイトリクエストフォージェリ	<= 1.0.0	2.0.0	中	CVE-2025-12586
Peer Publish	クロスサイトリクエストフォージェリ	<= 1.0	–	中	CVE-2025-12587
Ads Pro Plugin – Multi-Purpose WordPress Advertising Manager	SQLインジェクション	<= 4.95	–	高	CVE-2025-7402
WP Shortcodes Plugin — Shortcodes Ultimate	サーバーサイドリクエストフォージェリ	<= 7.4.5	7.4.6	中	CVE-2025-12800
Zegen Core	クロスサイトリクエストフォージェリ	<= 2.0.1	2.0.2	高	CVE-2025-11087
OneClick Chat to Order	安全でない直接オブジェクト参照	<= 1.0.8	1.0.9	高	CVE-2025-13526
CP Contact Form with PayPal	Missing Authorization to Unauthenticated Arbitrary Payment Confirmation	<= 1.3.56	1.3.57	高	CVE-2025-13384
Cookie Notice & Compliance for GDPR / CCPA	クロスサイトスクリプティング	<= 2.5.8	2.5.9	中	CVE-2025-11186
Booking Calendar Contact Form	Missing Authorization to Unauthenticated Arbitrary Booking Confirmation via 'dex_bccf_ipn' Parameter	<= 1.2.60	1.2.61	中	CVE-2025-13318
IDonate – Blood Donation, Request And Donor Management System	Missing Authorization to Unauthenticated Arbitrary Post Deletion	<= 2.1.14	2.1.16	中	CVE-2025-12877
Appointment Booking Calendar	Missing Authorization to Arbitrary Booking Confirmation via 'cpabc_ipncheck' Parameter	<= 1.3.96	1.3.97	中	CVE-2025-13317
Subscriptions & Memberships for PayPal	Unauthenticated Fake Payment Creation	<= 1.1.7	1.1.8	中	CVE-2025-12752
GSheetConnector For Ninja Forms	Missing Authorization to Authenticated (Subscriber+) System Information Exposure	<= 2.0.1	2.0.2	中	CVE-2025-13136
ELEX WordPress HelpDesk & Customer Ticketing System	任意ファイルアップロード	<= 3.3.1	3.3.2	高	CVE-2025-11456
Vitepos – Point of Sale (POS) for WooCommerce	リモートコード実行	<= 3.3.0	3.3.1	高	CVE-2025-13156
Realty Portal	Missing Authorization to Authenticated (Subscriber+) Arbitrary Options Update	0.1 – 0.4.1	–	高	CVE-2025-11985
URL Image Importer	任意ファイルアップロード	1.0 – 1.0.6	1.0.7	高	CVE-2025-12138
WP AUDIO GALLERY	任意ファイル削除	<= 2.0	–	高	CVE-2025-13322
WP Directory Kit	SQLインジェクション	<= 1.4.3	1.4.4	高	CVE-2025-13138
WPBookit	クロスサイトスクリプティング	<= 1.0.6	1.0.7	高	CVE-2025-12135
S2B AI Assistant – ChatBot, ChatGPT, OpenAI, Content & Image Generator	任意ファイルアップロード	<= 1.7.8	1.7.9	高	CVE-2025-12973
Simple User Registration	クロスサイトスクリプティング	<= 6.6	6.7	高	CVE-2025-12160
Flo Forms – Easy Drag & Drop Form Builder	クロスサイトスクリプティング	<= 1.0.43	–	高	CVE-2025-13159
Magical Products Display – Elementor WooCommerce Widgets \| Product Sliders, Grids & AJAX Search	クロスサイトスクリプティング	<= 1.1.29	1.1.30	中	CVE-2025-12964
HT Mega – Absolute Addons For Elementor	クロスサイトスクリプティング	<= 3.0.0	3.0.1	中	CVE-2025-13141
Shortcode for Google Street View	クロスサイトスクリプティング	<= 0.5.7	–	中	CVE-2025-11808
WP Company Info	クロスサイトスクリプティング	<= 1.9.0	–	中	CVE-2025-11826
WPSite Shortcode	クロスサイトスクリプティング	<= 1.2	–	中	CVE-2025-11803
Display Pages Shortcode	クロスサイトスクリプティング	<= 1.1	–	中	CVE-2025-11763
HotelRunner Booking Widget	クロスサイトスクリプティング	<= 5.2.4	–	中	CVE-2025-13135
Stock Tools	クロスサイトスクリプティング	<= 1.1	–	中	CVE-2025-11765
Padlet Shortcode	クロスサイトスクリプティング	<= 1.3	–	中	CVE-2025-12660
BrightTALK WordPress Shortcode	クロスサイトスクリプティング	<= 2.4.0	–	中	CVE-2025-11770
Surbma \| MiniCRM Shortcode	クロスサイトスクリプティング	<= 2.0	–	中	CVE-2025-11800
Bulma Shortcodes	クロスサイトスクリプティング	<= 1.0	–	中	CVE-2025-11802
Pollcaster Shortcode Plugin	クロスサイトスクリプティング	<= 1.0	–	中	CVE-2025-12661
EchBay Admin Security	クロスサイトスクリプティング	<= 1.3.0	1.3.1	中	CVE-2025-11885
BigBuy Dropshipping Connector for WooCommerce	Unauthenticated IP Spoofing to phpinfo() Exposure	<= 2.0.5	–	中	CVE-2025-12039
Groundhogg — CRM, Newsletters, and Marketing Automation	SQLインジェクション	<= 4.2.6.1	4.2.7	中	CVE-2025-12750
简数采集器	Authenticated (Admin+) Arbitrary File Read	<= 2.6.3	2.6.4	中	CVE-2025-11973
WP Delete Post Copies	クロスサイトスクリプティング	<= 6.0.2	6.0.3	中	CVE-2025-12066
Schedule Post Changes With PublishPress Future: Unpublish, Delete, Change Status, Trash, Change Categories	Authenticated (Author+) Missing Authorization to Post/Page Status Modification	<= 4.9.1	4.9.2	中	CVE-2025-13149
Custom Post Type	クロスサイトリクエストフォージェリ	<= 1.0	–	中	CVE-2025-13142
Gallery with thumbnail slider	クロスサイトスクリプティング	<= 7.8	–	中	CVE-2025-5092
Ultimate Member Widgets for Elementor – WordPress User Directory	Missing Authorization to Unauthenticated Information Exposure	<= 2.3	2.4	中	CVE-2025-12778
Code Snippets	コードインジェクション	<= 3.9.1	3.9.2	高	CVE-2025-13035
Community Events	SQLインジェクション	<= 1.5.4	1.5.5	高	CVE-2025-12646
Giveaways and Contests by RafflePress – Get More Website Traffic, Email Subscribers, and Social Followers	クロスサイトスクリプティング	<= 1.12.19	1.12.21	高	CVE-2025-12484
WP Import – Ultimate CSV XML Importer for WordPress	Authenticated (Administrator+) PHP Object Injection via CSV Import	<= 7.33.1	7.34	高	CVE-2025-13145
GiveWP – Donation Plugin and Fundraising Platform	クロスサイトスクリプティング	<= 4.13.0	4.13.1	高	CVE-2025-13206
Directorist: AI-Powered Business Directory Plugin with Classified Ads Listings	Missing Authorization to Authenticated (Subscriber+) Data Export and Slug Update	<= 8.5.2	8.5.3	中	CVE-2025-12174
FunnelKit – Funnel Builder for WooCommerce Checkout	クロスサイトスクリプティング	<= 3.13.1.2	3.13.1.3	中	CVE-2025-12878
User Profile Builder – Beautiful User Registration Forms, User Profiles & User Role Editor	クロスサイトスクリプティング	<= 3.14.8	3.14.9	中	CVE-2025-13054
Royal Addons for Elementor – Addons and Templates Kit for Elementor	クロスサイトスクリプティング	<= 1.7.1036	1.7.1037	中	CVE-2025-6251
Icon List Block – Add Icon-Based Lists with Custom Styles	サーバーサイドリクエストフォージェリ	<= 1.2.1	1.2.2	中	CVE-2025-12376
Pet-Manager – Petfinder	クロスサイトスクリプティング	<= 3.6.1	3.6.2	中	CVE-2025-12710
Responsive Lightbox & Gallery	サーバーサイドリクエストフォージェリ	<= 2.5.3	2.5.4	中	CVE-2025-12359
SureForms – Contact Form, Custom Form Builder, Calculator & More	クロスサイトリクエストフォージェリ	<= 1.13.1	1.13.2	中	CVE-2025-12535
SiteSEO – SEO Simplified	Improper Authorization to Authenticated Settings Reset	<= 1.3.2	1.3.3	中	CVE-2025-12814
Time Slot – Booking and Appointment Scheduling	Unauthenticated Arbitrary Email Sending	<= 1.4.7	1.4.8	中	CVE-2025-12842
Email Subscribers & Newsletters – Powerful Email Marketing, Post Notification & Newsletter Plugin for WordPress & WooCommerce	Missing Authentication to Unauthenticated Mailing Queue Trigger	<= 5.9.10	5.9.11	中	CVE-2025-12349
Quiz Maker	Unauthenticated Sensitive Information Exposure	<= 6.7.0.80	6.7.0.81	中	CVE-2025-12426
New User Approve	情報開示	<= 3.0.9	3.1.0	中	CVE-2025-12770
YITH WooCommerce Wishlist	Unauthenticated Wishlist Token Disclosure to Wishlist Item Deletion	<= 4.10.0	4.10.1	中	CVE-2025-12777
YITH WooCommerce Wishlist	安全でない直接オブジェクト参照	<= 4.10.0	4.10.1	中	CVE-2025-12427
Pixel Manager for WooCommerce – Track Conversions and Analytics, Google Ads, TikTok and more	Unauthenticated Information Exposure	<= 1.49.2	1.49.3	中	CVE-2025-12545
SiteSEO – SEO Simplified	安全でない直接オブジェクト参照	<= 1.3.2	1.3.3	中	CVE-2025-13085
WSChat – WordPress Live Chat	Missing Authorization to Authenticated (Subscriber+) Settings Reset	<= 3.1.6	3.1.7	中	CVE-2025-12751
WP Login and Register using JWT	Missing Authorization to Authenticated (Subscriber+) API Key Exposure	<= 3.0.0	3.1.0	中	CVE-2025-12822
Enable SVG, WebP, and ICO Upload	任意ファイルアップロード	<= 1.1.3	1.1.4	高	CVE-2025-13069
Category and Product Woocommerce Tabs	ローカルファイルインクルージョン	<= 1.0	–	高	CVE-2025-13088
WP Dropzone	任意ファイルアップロード	<= 1.1.0	1.1.1	高	CVE-2025-12775
Pie Forms — Drag & Drop Form Builder	任意ファイルアップロード	<= 1.6	–	高	CVE-2025-12528
Gravity Forms	任意ファイルアップロード	<= 2.9.21.1	2.9.22	高	CVE-2025-12974
Live sales notification for WooCommerce	Missing Authorization to Unauthenticated Customer Data Exposure	<= 2.3.39	2.3.40	高	CVE-2025-12955
Checkout Files Upload for WooCommerce	クロスサイトスクリプティング	<= 2.2.1	2.2.2	高	CVE-2025-4212
Multiple Roles per User	権限昇格	<= 1.0	–	高	CVE-2025-11620
Premmerce Wholesale Pricing for WooCommerce	SQLインジェクション	<= 1.1.10	–	高	CVE-2025-12411
AI Engine	サーバーサイドリクエストフォージェリ	<= 3.1.8	3.1.9	中	CVE-2025-8084
Simple User Import Export	Authenticated (Admin+) CSV Injection	<= 1.1.7	–	中	CVE-2025-13133
ACF Flexible Layouts Manager	Missing Authorization to Unauthenticated Custom Field Update	<= 1.1.6	–	中	CVE-2025-12937
Enable SVG, WebP, and ICO Upload	クロスサイトスクリプティング	<= 1.1.2	–	中	CVE-2025-12457
Meta Display Block	クロスサイトスクリプティング	<= 1.0.0	–	中	CVE-2025-12088
Photonic Gallery & Lightbox for Flickr, SmugMug & Others	クロスサイトスクリプティング	<= 3.21	3.22	中	CVE-2025-12691
Gutenify – Visual Site Builder Blocks & Site Templates.	クロスサイトスクリプティング	<= 1.5.9	–	中	CVE-2025-8605
everviz – Charts, Maps and Tables – Interactive and responsive	クロスサイトスクリプティング	<= 1.1	–	中	CVE-2025-11868
WP Twitter Auto Publish	クロスサイトスクリプティング	<= 1.7.3	–	中	CVE-2025-12079
Like-it	クロスサイトスクリプティング	<= 2.2	–	中	CVE-2025-12404
WP Migrate Lite – WordPress Migration Made Easy	サーバーサイドリクエストフォージェリ	<= 2.7.6	2.7.7	中	CVE-2025-11427
Element Pack Addons for Elementor	クロスサイトスクリプティング	<= 8.3.4	8.3.5	中	CVE-2025-13196
Broken Link Checker by AIOSEO – Easily Fix/Monitor Internal and External links	Missing Authorization to Authenticated (Contributor+) Arbitrary Post Trashing	<= 1.2.5	1.2.6	中	CVE-2025-11734
Cryptocurrency Payment Gateway for WooCommerce	Missing Authorization to Unauthenticated Tracking Status Update	<= 2.0.22	–	中	CVE-2025-12392
Restrictions for BuddyPress	Missing Authorization to Unauthenticated Tracking Status Update	<= 1.5.2	–	中	CVE-2025-12391
WP Duplicate Page	情報開示	<= 1.7	1.8	中	CVE-2025-12481
wModes – Catalog Mode, Product Pricing, Enquiry Forms & Promotions \| for WooCommerce	情報開示	<= 1.2.2	1.3	中	CVE-2025-12639
Coil Web Monetization	クロスサイトリクエストフォージェリ	<= 2.0.2	–	中	CVE-2025-9625
Top Friends	クロスサイトリクエストフォージェリ	<= 0.3	–	中	CVE-2025-12827
Download Panel (Biggiko Team)	Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Settings Modification	<= 1.3.3	–	中	CVE-2025-12961
Survey Maker	アクセス制御の不備	<= 5.1.9.4	5.1.9.5	中	CVE-2025-64276
CoSchedule	アクセス制御の不備	<= 3.4.0	3.4.1	中	CVE-2025-49913
WooCommerce PDF Invoice Builder	アクセス制御の不備	<= 1.2.150	1.2.151	中	CVE-2025-64269
LifterLMS	権限昇格	9.1.0	9.1.1	高	CVE-2025-11923
Booking for Appointments and Events Calendar – Amelia	SQLインジェクション	<= 1.2.35	1.2.36	高	CVE-2025-12482
Booking Calendar	クロスサイトスクリプティング	<= 10.14.7	10.14.8	中	CVE-2025-64381
Theater for WordPress	アクセス制御の不備	<= 0.18.8	0.19	中	CVE-2025-64259
WP	クロスサイトリクエストフォージェリ	<= 1.4.7	1.4.8	中	CVE-2025-64271
WP Project Manager	SQLインジェクション	<= 2.6.26	2.6.27	高	CVE-2025-8994
Creta Testimonial Showcase	ローカルファイルインクルージョン	< 1.2.4	1.2.4	高	CVE-2025-10686
All In One SEO Pack	Missing Authorization to Authenticated (Contributor+) Arbitrary Media Deletion vulnerability	<= 4.8.9	4.9.0	中	CVE-2025-12847
Qi Blocks	Missing Authorization to Arbitrary Attachment Resize vulnerability	<= 1.4.3	1.4.4	中	CVE-2025-12182
Contest Gallery – Upload, Vote & Sell with PayPal and Stripe	Missing Authorization	<= 28.0.2	28.0.3	中	CVE-2025-12849
Image Gallery – Photo Grid & Video Gallery	Improper Authorization to Authenticated (Author+) Arbitrary Image File Move	<= 2.12.28	2.12.29	中	CVE-2025-12494
WPSchoolPress	SQLインジェクション	<= 2.2.23	2.2.24	高	CVE-2025-11981
SNORDIAN's H5PxAPIkatchu	クロスサイトスクリプティング	<= 0.4.17	0.4.18	高	CVE-2025-12904
WP All Import	リモートコード実行	<= 3.9.6	4.0.0	高	CVE-2025-12733
AI Engine	デシリアライゼーション	<= 3.1.8	3.1.9	高	CVE-2025-12844
Specific Content For Mobile	SQLインジェクション	<= 0.5.5	0.5.6	高	CVE-2025-11454
Poll Maker	SQLインジェクション	<= 6.0.7	6.0.8	高	CVE-2025-12620
0 Day Analytics	SQLインジェクション	<= 4.0.0	4.1.0	高	CVE-2025-64293
Payment	Missing Authorization to Payment Token Exposure and Transaction Fraud vulnerability	<= 3.2.78	3.2.79	高	CVE-2025-12903
Easy Email Subscription	クロスサイトスクリプティング	<= 1.3	1.3.1	高	CVE-2025-11994
Save as PDF Button	クロスサイトスクリプティング	<= 1.9.2	–	中	CVE-2025-8397
WordPress Content Flipper	クロスサイトスクリプティング	<= 0.1	–	中	CVE-2025-11769
Data Tables Generator by Supsystic	任意ファイル削除	<= 1.10.45	1.10.46	中	CVE-2025-12089
Thumbnail Slider With Lightbox	クロスサイトスクリプティング	<= 1.0.21	1.0.22	中	CVE-2024-5020
Quicq	Missing Authorization to Authenticated (Subscriber+) Afosto Disconnect vulnerability	<= 2.0.0	–	中	CVE-2025-12015
Envira Photo Gallery	Missing Authorization to Authenticated (Author+) Multiple Gallery Actions vulnerability	<= 1.12.0	1.12.1	中	CVE-2025-12377
WP Headless CMS Framework	Unauthenticated Protection Mechanism Bypass vulnerability	<= 1.15	–	中	CVE-2025-11260
Comment Edit Core – Simple Comment Editing	Unauthenticated Sensitive Information Exposure vulnerability	<= 3.1.0	3.2.0	中	CVE-2025-12681
Survey Maker	Missing Authorization to Unauthenticated Information Exposure vulnerability	<= 5.1.9.4	5.1.9.5	中	CVE-2025-12891
SureForms	Missing Authorization to Unauthenticated Sensitive Information Exposure vulnerability	<= 1.13.1	1.13.2	中	CVE-2025-12536
Welcart e-Commerce	Missing Authorization to Unauthenticated Information Exposure vulnerability	<= 2.11.24	2.11.25	中	CVE-2025-12979
Survey Maker	Missing Authorization Unauthenticated Limited Option Update	<= 5.1.9.4	5.1.9.5	中	CVE-2025-12892
PageLayer	安全でない直接オブジェクト参照	<= 2.0.5	2.0.6	中	CVE-2025-12366
TNC Toolbox: Web Performance	権限昇格	<= 1.4.2	2.0.0	高	CVE-2025-12539
Blocksy Companion	任意ファイルアップロード	<= 2.1.19	2.1.20	高	CVE-2025-12846
Auto Amazon Links	Unauthenticated Arbitrary File Read vulnerability	<= 5.4.3	–	高	CVE-2025-11451
Booking Calendar \| Appointment Booking \| Bookit	Missing Authorization to Unauthenticated Stripe Connection	<= 2.5.0	2.5.1	高	CVE-2025-12633
Slippy Slider	クロスサイトスクリプティング	<= 2.0	–	中	CVE-2025-11874
WP-Iconics	クロスサイトスクリプティング	<= 0.0.4	–	中	CVE-2025-12671
Five9 Live Chat	クロスサイトスクリプティング	<= 1.1.2	–	中	CVE-2025-11829
GitHub Gist Shortcode	クロスサイトスクリプティング	<= 0.2	–	中	CVE-2025-12667
Authors List	Authenticated (Contributor+) Sensitive Information Exposure via Limited Method Call in Plugin's Shortcode vulnerability	<= 2.0.6.1	2.0.6.2	中	CVE-2025-12010
Nonaki	クロスサイトスクリプティング	<= 1.0.11	–	中	CVE-2025-12644
Progress Bar Blocks for Gutenberg	クロスサイトスクリプティング	<= 1.0.0	–	中	CVE-2025-12880
Classified Listing	Missing Authorization to Authenticated (Subscriber+) Listing Types Tampering vulnerability	<= 5.2.0	5.2.1	中	CVE-2025-12953
Hydra Booking	Missing Payment Verification to Unauthenticated Payment Bypass vulnerability	<= 1.1.27	1.1.28	中	CVE-2025-12788
Hydra Booking	Unauthenticated Arbitrary Booking Cancellation via Weak Hash Generation vulnerability	<= 1.1.27	1.1.28	中	CVE-2025-12787
MembershipWorks – Membership, Events & Directory	クロスサイトスクリプティング	<= 6.14	6.15	中	CVE-2025-12018
USB Qr Code Scanner For Woocommerce	クロスサイトリクエストフォージェリ	<= 1.0.0	–	中	CVE-2025-12588
WP Import – Ultimate CSV XML Importer for WordPress	Missing Authorization to Authenticated (Author+) Sensitive Information Exposure	<= 7.33	7.33.1	中	CVE-2025-12732
Alt Text Generator AI – Auto Generate & Bulk Update Alt Texts For Images	Missing Authorization to Authenticated (Subscriber+) API Key Deletion	<= 1.8.3	1.8.4	中	CVE-2025-12113
Wishlist and Save for later for Woocommerce	安全でない直接オブジェクト参照	<= 1.1.22	1.1.23	中	CVE-2025-12087
Asgaros Forum	クロスサイトリクエストフォージェリ	<= 3.2.1	3.3.0	中	CVE-2025-12901
GeoDirectory – WP Business Directory Plugin and Classified Listings Directory	Missing Authorization to Authenticated (Author+) Arbitrary Image Attachment	<= 2.8.139	2.8.140	中	CVE-2025-12833
Astra Security Suite	任意ファイルアップロード	<= 0.2	–	高	CVE-2025-11521
EasyCommerce	権限昇格	<= 1.5.0	1.8.3	高	CVE-2025-11457
Holiday class post calendar	リモートコード実行	<= 7.1	7.2	高	CVE-2025-12813
WP移行専用プラグイン for CPI	任意ファイルアップロード	<= 1.0.2	–	高	CVE-2025-11170
Mementor Core	権限昇格	<= 2.2.5	–	高	CVE-2025-11168
Elastic Theme Editor	任意ファイルアップロード	<= 0.0.3	–	高	CVE-2025-12637
WP-OAuth	クロスサイトスクリプティング	<= 0.4.1	–	高	CVE-2025-12021
Flickr Show	クロスサイトスクリプティング	<= 1.5	–	中	CVE-2025-12672
Ungapped Widgets	クロスサイトスクリプティング	<= 1	–	中	CVE-2025-12652
Geopost	クロスサイトスクリプティング	<= 1.2	–	中	CVE-2025-12754
WP BBCode	クロスサイトスクリプティング	<= 1.8.1	–	中	CVE-2025-11873
Twitter Feed	クロスサイトスクリプティング	<= 1.3.1	–	中	CVE-2025-11860
Skip to Timestamp	クロスサイトスクリプティング	<= 1.4.4	–	中	CVE-2025-11805
Chart Expert	クロスサイトスクリプティング	<= 1.0	–	中	CVE-2025-12753
Coon Google Maps	クロスサイトスクリプティング	<= 1.0	–	中	CVE-2025-12662
Precise Columns	クロスサイトスクリプティング	<= 1.0	–	中	CVE-2025-11869
Jeba Cute forkit	クロスサイトスクリプティング	<= 1.0	–	中	CVE-2025-12663
Include Fussball.de Widgets	クロスサイトスクリプティング	<= 4.0.0	–	中	CVE-2025-11129
The Total Book Project	安全でない直接オブジェクト参照	<= 1.0	1.1	中	CVE-2025-12126
Add Multiple Marker	Missing Authorization to Unauthenticated Settings Update vulnerability	<= 1.2	–	中	CVE-2025-11999
Find Unused Images	Missing Authorization to Unauthenticated Arbitrary Attachment Deletion vulnerability	<= 1.0.7	–	中	CVE-2025-11996
Shelf Planner	Missing Authorization to Unauthenticated Settings Update vulnerability	<= 2.7.0	–	中	CVE-2025-11894
Shelf Planner	Unauthenticated Information Exposure via Log Files vulnerability	<= 2.7.0	–	中	CVE-2025-11891
Featured Image	クロスサイトスクリプティング	<= 2.1	2.2	中	CVE-2025-12019
WP Custom Admin Login Page Logo	クロスサイトリクエストフォージェリ	<= 1.4.8.4	–	中	CVE-2025-12132
CTL Arcade Lite	クロスサイトリクエストフォージェリ	<= 1.0	–	中	CVE-2025-11886
ZoloBlocks	アクセス制御の不備	<= 2.3.11	2.3.12	中	CVE-2025-49903
JetElements For Elementor	クロスサイトスクリプティング	<= 2.7.12	2.7.12.1	中	CVE-2025-64355
Gravity Forms	任意ファイルアップロード	<= 2.9.20	2.9.21	高	CVE-2025-12352
IDonate	権限昇格	2.1.5-2.1.9	2.1.10	高	CVE-2025-4519
Ace User Management	認証回避	<= 2.0.3	–	高	CVE-2025-6027
Smart Auto Upload Images – Import External Images	任意ファイルアップロード	<= 1.2.0	1.2.1	高	CVE-2025-12161
Better Find and Replace – AI-Powered Suggestions	コードインジェクション	<= 1.7.7	1.7.8	高	CVE-2025-9334
LC Wizard	権限昇格	1.2.10-1.3.0	1.4.0	高	CVE-2025-5483
Download Counter Button	任意ファイルダウンロード	<= 1.8.6.7	–	高	CVE-2025-11072
Asgaros Forum	SQLインジェクション	<= 3.1.0	3.2.0	高	CVE-2025-11452
Alex Reservations: Smart Restaurant Booking	任意ファイルアップロード	<= 2.2.3	2.2.4	高	CVE-2025-12399
Mail Mint – Newsletters, Email Marketing, Automation, WooCommerce Emails, Post Notification, and more	任意ファイルアップロード	<= 1.18.10	1.18.11	高	CVE-2025-11967
Academy LMS – WordPress LMS Plugin for Complete eLearning Solution	Authenticated (Administrator+) PHP Object Injection via 'import_all_courses'	<= 3.3.8	3.3.9	高	CVE-2025-12099
Funnel Builder by FunnelKit	クロスサイトスクリプティング	< 3.12.0.1	3.12.0.1	高	CVE-2025-10567
IDonate	安全でない直接オブジェクト参照	2.0.0-2.1.9	2.1.10	中	CVE-2025-4522
Rey Core	クロスサイトスクリプティング	<= 3.1.8	3.1.9	中	CVE-2025-64220
CYAN Backup	任意ファイル削除	<= 2.5.4	2.5.5	中	CVE-2025-12092
Ovatheme Events Manager	Missing Authorization	<= 1.8.6	1.8.7	中	CVE-2025-7663
Easy WordPress Funnel Builder To Collect Leads And Increase Sales – WPFunnels	パストラバーサル	<= 3.6.2	3.6.3	中	CVE-2025-12000
aThemes Addons for Elementor	クロスサイトスクリプティング	<= 1.1.5	1.1.6	中	CVE-2025-12837
Saphali LiqPay for donate	クロスサイトスクリプティング	<= 1.0.2	1.0.3	中	CVE-2025-12643
Insert Headers and Footers Code – HT Script	クロスサイトスクリプティング	<= 1.1.6	1.1.7	中	CVE-2025-12112
Simple Downloads List	クロスサイトスクリプティング	<= 1.4.3	1.5.0	中	CVE-2025-12583
Mang Board WP	クロスサイトスクリプティング	<= 2.3.1	2.3.2	中	CVE-2025-12193
WP Airbnb Review Slider	クロスサイトスクリプティング	<= 4.2	4.4	中	CVE-2025-12520
ElementInvader Addons for Elementor	Unauthenticated Arbitrary Email Sending vulnerability	< 1.4.1	1.4.1	中	CVE-2025-10873
Easy WordPress Funnel Builder To Collect Leads And Increase Sales – WPFunnels	Unauthorized User Registration	<= 3.6.2	3.6.3	中	CVE-2025-12353
Academy LMS Pro	Unauthenticated Sensitive Information Exposure via 'enqueue_social_login_script'	<= 3.3.8	3.3.9	中	CVE-2025-12098
Flexible Refund and Return Order for WooCommerce	Incorrect Authorization to Authenticated (Contributor+) Refund Status Update	<= 1.0.42	1.0.43	中	CVE-2025-12621
Download Manager	Unauthenticated Cron Trigger due to Hardcoded Cron Key	<= 3.3.30	3.3.31	中	CVE-2025-12177
Course Booking System	Missing Authorization to Unauthenticated Booking Data Export	<= 6.1.5	6.1.6	中	CVE-2025-12042
Quick Featured Images	SQLインジェクション	<= 13.7.3	13.7.4	中	CVE-2025-11980
Tag, Category, and Taxonomy Manager – AI Autotagger with OpenAI	SQLインジェクション	<= 3.40.0	3.40.1	中	CVE-2025-11972
HTML Forms – Simple WordPress Forms Plugin	クロスサイトスクリプティング	<= 1.5.5	1.5.6	中	CVE-2025-12125
Page & Post Notes	Missing Authorization to Authenticated (Subscriber+) Note Update/Deletion vulnerability	<= 1.3.4	1.3.5	中	CVE-2025-12527
Gallery Plugin for WordPress – Envira Photo Gallery	Missing Authorization to Authenticated (Contributor+) Gallery Conversion	<= 1.11.0	1.12.0	中	CVE-2025-11448
Contact Form 7 AWeber Extension	Missing Authorization to Authenticated (Subscriber+) Log Reset	<= 0.1.42	0.1.43	中	CVE-2025-12167
EventPrime – Events Calendar, Bookings and Tickets	Missing Authorization to Authenticated (Subscriber+) Booking Note Creation	<= 4.2.0.0	4.2.0.1	中	CVE-2025-12498
Groups	安全でない直接オブジェクト参照	<= 3.7.0	3.8.0	中	CVE-2025-11748
KiotViet Sync	任意ファイルアップロード	<= 1.8.5	–	高	CVE-2025-12674
The Events Calendar	SQLインジェクション	6.15.1.1-6.15.9	6.15.10	高	CVE-2025-12197
Phlox Portfolio	ローカルファイルインクルージョン	<= 2.3.10	2.3.12	高	CVE-2025-12497
Easy Email Subscription	SQLインジェクション	<= 1.3	1.3.1	高	CVE-2025-10683
Ad Inserter	クロスサイトスクリプティング	<= 2.8.7	2.8.8	中	CVE-2025-11745
Visual Link Preview	クロスサイトスクリプティング	<= 2.2.7	2.2.8	中	CVE-2025-11987
Graphina	クロスサイトスクリプティング	<= 3.1.8	3.1.9	中	CVE-2025-11820
Easy Email Subscription	クロスサイトリクエストフォージェリ	<= 1.3	1.3.1	中	CVE-2025-10691
Blog2Social	サーバーサイドリクエストフォージェリ	<= 8.6.0	8.6.1	中	CVE-2025-12560
Easy Digital Downloads	Insufficient Verification to Order Manipulation vulnerability	<= 3.5.2	3.5.3	中	CVE-2025-11271
FunnelKit Automations	Unauthenticated Sensitive Information Exposure vulnerability	<= 3.6.4.1	3.6.4.2	中	CVE-2025-12468
The Events Calendar	Sysinfo Key Incorrect Comparison to Unauthenticated Sensitive Information Exposure vulnerability	<= 6.15.9	6.15.10	中	CVE-2025-12192
KiotViet Sync	認可回避	<= 1.8.5	–	中	CVE-2025-12676
KiotViet Sync	Unauthenticated Webhook Key Exposure vulnerability	<= 1.8.5	–	中	CVE-2025-12677
Strong Testimonials	Unauthenticated Arbitrary Shortcode Execution vulnerability	<= 3.2.16	3.2.17	中	CVE-2025-11268
Better Find and Replace	Missing Authorization vulnerability	<= 1.7.7	1.7.8	中	CVE-2025-12360
Blog2Social	ファイルアップロード	<= 8.6.0	8.6.1	中	CVE-2025-12563
FunnelKit Automations	Missing Authorization to Authenticated (Subscriber+) Arbitrary Email Sending vulnerability	<= 3.6.4.1	3.6.4.2	中	CVE-2025-12469
Depicter Slider	Missing Authorization to Authenticated (Contributor+) Safe File Type Upload vulnerability	<= 4.0.4	4.0.5	中	CVE-2025-11373
Hubbub Lite – Fast, free social sharing and follow buttons	クロスサイトスクリプティング	<= 1.36.0	1.36.1	中	CVE-2025-12471
CE21 Suite	権限昇格	2.2.1-2.3.1	–	高	CVE-2025-11007
AI Engine	権限昇格	<= 3.1.3	3.1.4	高	CVE-2025-11749
Easy Upload Files During Checkout	ファイルアップロード	<= 2.9.8	2.9.9	高	CVE-2025-12682
Master Blocks	Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Upload vulnerability	<= 1.4.1.3	1.0.2.4	高	CVE-2025-10896
Document Embedder – Embed PDFs, Word, Excel, and Other Files	Missing Authorization to Unauthenticated Document Manipulation	<= 2.0.0	2.0.1	高	CVE-2025-12384
ShopLentor	Unauthenticated Local PHP File Inclusion via 'load_template' vulnerability	<= 3.2.5	3.2.6	高	CVE-2025-12493
Crypto Payment Gateway with Payeer for WooCommerce	Unauthenticated Payment Bypass vulnerability	<= 1.0.3	–	高	CVE-2025-11890
File Manager for Google Drive – Integrate Google Drive	Unauthenticated Sensitive Information Exposure	<= 1.5.3	1.5.4	高	CVE-2025-12139
Top Bar Notification	クロスサイトスクリプティング	<= 1.12	–	高	CVE-2025-12412
LMB^Box Smileys	クロスサイトスクリプティング	<= 3.2	–	高	CVE-2025-12400
Footnotes Made Easy	クロスサイトスクリプティング	<= 3.0.7	3.0.8	高	CVE-2025-11733
Centangle Team Showcase	クロスサイトスクリプティング	<= 1.0.0	–	高	CVE-2025-12456
Reuse Builder	クロスサイトスクリプティング	<= 1.7	–	中	CVE-2025-11812
All in One Time Clock Lite	Missing Authorization to Page Creation and Information Exposure vulnerability	<= 2.0.3	2.0.4	中	CVE-2025-11758
Carousel Block – Responsive Image and Content Carousel	サーバーサイドリクエストフォージェリ	<= 1.1.5	1.1.6	中	CVE-2025-12388
WPeMatico RSS Feed Fetcher	サーバーサイドリクエストフォージェリ	<= 2.8.11	2.8.12	中	CVE-2025-11917
Spectra Gutenberg Blocks – Website Builder for the Block Editor	クロスサイトスクリプティング	<= 2.19.14	2.19.15	中	CVE-2025-11162
Ohio Extra	クロスサイトスクリプティング	<= 3.6.0	3.6.1	中	CVE-2025-64365
SMS for WordPress	クロスサイトスクリプティング	<= 1.1.8	–	中	CVE-2025-12580
Orbit Fox by ThemeIsle	クロスサイトスクリプティング	<= 3.0.2	3.0.3	中	CVE-2025-12045
Multi-language Responsive Portfolio	クロスサイトスクリプティング	<= 1.0	–	中	CVE-2025-11753
Free Quotation	クロスサイトスクリプティング	<= 3.1.6	–	中	CVE-2025-12393
Clubmember	クロスサイトスクリプティング	<= 0.2	–	中	CVE-2025-12396
Everest Forms Pro	デシリアライゼーション	<= 1.9.7	1.9.8	中	CVE-2025-8871
Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction	Missing Authorization to Unauthenticated Arbitrary Member Subscription Auto Renewal	<= 2.16.4	2.16.5	中	CVE-2025-11835
Ai Auto Tool Content Writing Assistant (Gemini Writer, ChatGPT ) All in One	WordPress Ai Auto Tool Content Writing Assistant (Gemini Writer, ChatGPT ) All in One plugin 2.0.7 – 2.2.6 – Missing Authorization to Authenticated (Subscriber+) Post Creation vulnerability	2.0.7-2.2.6	–	中	CVE-2025-12156
Import Export For WooCommerce	Missing Authorization to Authenticated (Subscriber+) Settings Update vulnerability	<= 1.6.2	–	中	CVE-2025-12389
KiotViet Sync	Missing Authorization to Authenticated (Subscriber+) Settings Update	<= 1.8.5	–	中	CVE-2025-12675
Features	Missing Authorization to Authenticated (Subscriber+) Option Reset	<= 0.0.2	–	中	CVE-2025-12582
SUMO Affiliates Pro	Authenticated (Subscriber+) Information Exposure	<= 11.0.0	11.1.0	中	CVE-2025-64228
Tablesome	任意ファイルアップロード	<= 1.1.32	1.3.33	高	CVE-2025-11499
WP Delicious	任意ファイルアップロード	<= 1.9.0	1.9.1	高	CVE-2025-11755
Doccure Core	権限昇格	< 1.5.4	1.5.4	高	CVE-2025-8900
Simple User Capabilities	権限昇格	<= 1.0	–	高	CVE-2025-12158
CE21 Suite	権限昇格	<= 2.3.1	–	高	CVE-2025-11008
EM Beer Manager	任意ファイルアップロード	<= 3.2.3	–	高	CVE-2025-11724
wpForo Forum	SQLインジェクション	<= 2.4.9	2.4.10	高	CVE-2025-11740
Simple Payment	ローカルファイルインクルージョン	<= 2.4.6	2.4.7	高	CVE-2025-62075
Elegance Menu	ローカルファイルインクルージョン	<= 1.9	1.9.1	高	CVE-2025-11704
Advanced Ads	Unauthenticated Limited Code Execution vulnerability	<= 2.0.12	2.0.13	高	CVE-2025-10487
Booking and Rental Manager for Bike \| Car \| Resort \| Appointment \| Dress \| Equipment	クロスサイトスクリプティング	<= 2.5.3	2.5.4	高	CVE-2025-49904
Community Events	クロスサイトスクリプティング	<= 1.5.2	1.5.3	高	CVE-2025-11995
Schema & Structured Data for WP & AMP	クロスサイトスクリプティング	<= 1.51	1.52	中	CVE-2025-11502
Employee Spotlight	クロスサイトスクリプティング	<= 5.1.2	5.1.3	中	CVE-2025-12090
Schema Scalpel	クロスサイトスクリプティング	<= 1.6.1	1.6.2	中	CVE-2025-12118
Extensions for Leaflet Map	クロスサイトスクリプティング	<= 4.7	4.8	中	CVE-2025-12369
Visit Counter	クロスサイトスクリプティング	1.0	–	中	CVE-2025-12452
SH Contextual Help	クロスサイトスクリプティング	<= 3.2.1	–	中	CVE-2025-12410
LinkedIn Resume	クロスサイトスクリプティング	<= 2.00	–	中	CVE-2025-12402
Pagerank tools	クロスサイトスクリプティング	<= 1.1.5	–	中	CVE-2025-12416
MapMap	クロスサイトスクリプティング	<= 1.1	–	中	CVE-2025-12415
Flying Images	クロスサイトスクリプティング	<= 2.4.14	2.4.15	中	CVE-2025-11927
CSS & JavaScript Toolbox	クロスサイトスクリプティング	<= 12.0.5	12.0.6	中	CVE-2025-11928
WPCF7 Stop words	クロスサイトリクエストフォージェリ	<= 1.1.3	–	中	CVE-2025-12413
WPLegalPages	Missing Authorization to Unauthenticated API Disconnect vulnerability	<= 3.5.1	3.5.2	中	CVE-2025-11816
Simple User Capabilities	Missing Authorization to Unauthenticated Capability Reset	<= 1.0	–	中	CVE-2025-12157
Import WP	Authenticated (Admin+) Arbitrary File Read vulnerability	<= 2.14.16	2.14.17	中	CVE-2025-12137
Nari Accountant	クロスサイトスクリプティング	<= 1.0.12	–	中	CVE-2025-12371
MeetingList	クロスサイトスクリプティング	<= 0.11	–	中	CVE-2025-12184
Qi Blocks	Missing Authorization to Authenticated (Contributor+) Plugin Settings Update vulnerability	<= 1.4.3	1.4.4	中	CVE-2025-12180
List category posts	Authenticated (Contributor+) Information Exposure vulnerability	<= 0.92.0	0.93.0	中	CVE-2025-11377
WP Discourse	Authenticated (Author+) Information Exposure vulnerability	<= 2.5.9	2.6.0	中	CVE-2025-11983
Folderly	Incorrect Authorization to Authenticated (Author+) Term Deletion vulnerability	<= 0.3	0.3.1	中	CVE-2025-12038
SiteSEO	Missing Authorization to Authenticated (Author+) Plugin Settings Update vulnerability	<= 1.3.1	1.3.2	中	CVE-2025-12367
K Elements	クロスサイトスクリプティング	< 5.5.0	5.5.0	中	CVE-2025-64362
Jannah – Extensions	クロスサイトスクリプティング	<= 1.1.4	1.1.5	中	CVE-2025-64208
Smart Coupons for WooCommerce	アクセス制御の不備	<= 2.2.3	2.2.4	中	CVE-2025-64358
Advanced Database Cleaner	クロスサイトリクエストフォージェリ	<= 3.1.6	3.1.7	中	CVE-2025-64357
Post SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App	Missing Authorization to Account Takeover via Unauthenticated Email Log Disclosure	<= 3.6.0	3.6.1	高	CVE-2025-11833
Service Finder Bookings	権限昇格	< 6.1	6.1	高	CVE-2025-6574
Service Finder Bookings	権限昇格	<= 6.0	6.1	高	CVE-2025-5949
WPCOM Member	ローカルファイルインクルージョン	<= 1.7.14	1.7.15	高	CVE-2025-11920
RESTful Content Syndication	任意ファイルアップロード	1.1.0 – 1.5.0	1.6.0	高	CVE-2025-12171
User Extra Fields	任意ファイル削除	<= 16.7	16.8	高	CVE-2025-7846
WPC Name Your Price for WooCommerce	Unauthenticated Price Alteration vulnerability	<= 2.1.9	2.2.0	高	CVE-2025-12115
WooCommerce Designer Pro	Unauthenticated Arbitrary File Read vulnerability	<= 1.9.28	–	高	CVE-2025-10897
Simple Payment	クロスサイトスクリプティング	<= 2.4.6	2.4.7	高	CVE-2025-62076
Zombify	パストラバーサル	<= 1.7.5	1.7.6	中	CVE-2025-8385
Qzzr Shortcode	クロスサイトスクリプティング	<= 1.0.1	–	中	CVE-2025-11806
Inactive Logout	クロスサイトスクリプティング	<= 3.5.5	3.6.0	中	CVE-2025-11922
Document Library Lite	Missing Authorization to Sensitive Information Exposure	<= 1.1.6	1.1.7	中	CVE-2025-11174
ERI File Library	Missing Authorization to Unauthenticated Protected File Download vulnerability	<= 1.1.0	1.1.1	中	CVE-2025-12041
OOPSpam Anti-Spam	Unauthenticated IP Header Spoofing vulnerability	<= 1.2.53	1.2.54	中	CVE-2025-12094
Analytify Pro	Unauthenticated Information Exposure vulnerability	<= 7.0.3	7.0.4	中	CVE-2025-12521
The Events Calendar	Missing Authorization to Authenticated (Subscriber+) Draft Event Title/QR Code Exposure vulnerability	<= 6.15.9	6.15.10	中	CVE-2025-12175
FuseWP	Missing Authorization to Authenticated (Subscriber+) Sync Rule Creation vulnerability	<= 1.1.23.0	1.1.23.1	中	CVE-2025-11975
Chat Help – Click to Chat Button & Form	Missing Authorization to Unauthenticated Sensitive Information Exposure	<= 3.1.3	3.1.4	高	–

テーマ

名称	脆弱性の種類	対象ver.	パッチ済ver.	重要度	CVE ID
tiger	権限昇格	<= 101.2.1	–	高	CVE-2025-13675
tiger	権限昇格	<= 101.2.1	–	高	CVE-2025-13680
houzez	Authenticated (Subscriber+) PHP Object Injection via Saved Search	<= 4.1.6	4.1.7	中	CVE-2025-9191
houzez	クロスサイトスクリプティング	<= 4.1.6	4.1.7	中	CVE-2025-9163
Angel	クロスサイトスクリプティング	<= 3.2.3	–	中	CVE-2025-10295
smart-mag	ローカルファイルインクルージョン	<= 10.3.0	10.3.1	高	CVE-2025-64216
Kallyas	リモートコード実行	<= 4.24.0	–	高	CVE-2025-6990
masterstudy	ローカルファイルインクルージョン	< 4.8.126	4.8.126	高	CVE-2025-64364
kleo	ローカルファイルインクルージョン	< 5.5.0	5.5.0	高	CVE-2025-64363
Kallyas	クロスサイトスクリプティング	<= 4.23.0	4.24.0	中	CVE-2025-6988
SmartMag	クロスサイトスクリプティング	<= 10.3.1	10.3.2	中	CVE-2025-64204
Jobmonster	認証回避	<= 4.8.1	4.8.2	高	CVE-2025-5397

対応方法

パッチが提供されたバージョンはアップデートしましょう。
特に重要度が高のものは確実にアップデートしておきましょう。

カテゴリ：
タグ：