WordPress脆弱性情報：2025年12月分

2025年12月に確認されたWordPress関連の脆弱性情報です。

プラグイン216件、テーマ13件、合計229件の脆弱性が報告されています。

プラグイン

名称	脆弱性の種類	対象ver.	パッチ済ver.	重要度	CVE ID
Easy Digital Downloads – eCommerce Payments and Subscriptions made easy	Unvalidated Redirect in Password Reset Flow via edd_redirect	<= 3.6.2	3.6.3	中	CVE-2025-14783
Lucky Wheel for WooCommerce – Spin a Sale	コードインジェクション	<= 1.1.13	1.1.14	高	CVE-2025-14509
Advanced Ads – Ad Manager & AdSense	リモートコード実行	<= 2.0.14	2.0.15	高	CVE-2025-13592
PixelYourSite – Your smart PIXEL (TAG) & API Manager	Sensitive Information Exposure via Log File	<= 11.1.5	11.1.5.1	中	CVE-2025-14280
Strong Testimonials	Missing Authorization to Authenticated (Contributor+) Rating Meta Update	<= 3.2.18	3.2.19	中	CVE-2025-14426
Frontend Post Submission Manager Lite – Frontend Posting WordPress Plugin	Incorrect Authorization to Unauthenticated Arbitrary Attachment Deletion	<= 1.2.6	1.2.7	中	CVE-2025-14913
Print Invoice & Delivery Notes for WooCommerce	リモートコード実行	<= 5.8.0	5.9.0	高	CVE-2025-13773
PhastPress	Unauthenticated Arbitrary File Read via Null Byte Injection	<= 3.7	3.8	高	CVE-2025-14388
Beaver Builder Page Builder – Drag and Drop Website Builder	Missing Authorization to Authenticated (Subscriber+) Arbitrary Post Update	<= 2.9.4.1	2.9.4.2	高	CVE-2025-12934
Happy Addons for Elementor	クロスサイトスクリプティング	<= 3.20.3	3.20.4	中	CVE-2025-14635
Membership Plugin – Restrict Content	クロスサイトスクリプティング	<= 3.2.15	3.2.16	中	CVE-2025-14000
Calendar	クロスサイトスクリプティング	<= 1.3.16	1.3.17	中	CVE-2025-14548
Premium Addons for Elementor – Powerful Elementor Templates & Widgets	Missing Authorization to Unauthenticated Sensitive Information Exposure via 'get_template_content'	<= 4.11.53	4.11.54	中	CVE-2025-14155
Premium Addons for Elementor – Powerful Elementor Templates & Widgets	クロスサイトリクエストフォージェリ	<= 4.11.53	4.11.54	中	CVE-2025-14163
Redirection for Contact Form 7	Unauthenticated Arbitrary File Copy via move_file_to_upload	<= 3.2.7	3.2.8	高	CVE-2025-14800
WP JobHunt	クロスサイトスクリプティング	<= 7.7	–	高	CVE-2025-7782
Post Grid Gutenberg Blocks for News, Magazines, Blog Websites – PostX	Missing Authorization to Unauthenticated Sensitive Information Exposure	<= 5.0.3	5.0.4	高	CVE-2025-12980
Live Composer – Free WordPress Website Builder	Authenticated (Contributor+) PHP Object Injection via dslc_module_posts_output Shortcode	<= 2.0.2	2.0.3	高	CVE-2025-14071
SureForms – Contact Form, Payment Form & Other Custom Form Builder	クロスサイトスクリプティング	<= 2.2.0	2.2.1	高	CVE-2025-14855
ELEX WordPress HelpDesk & Customer Ticketing System	クロスサイトスクリプティング	<= 3.3.4	3.3.5	高	CVE-2025-9343
Image Photo Gallery Final Tiles Grid	クロスサイトスクリプティング	<= 3.6.8	3.6.9	中	CVE-2025-13693
Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin	クロスサイトスクリプティング	<= 2.11.0	2.11.1	中	CVE-2025-13220
WishSuite – Wishlist for WooCommerce	クロスサイトスクリプティング	<= 1.5.1	1.5.2	中	CVE-2025-13838
Product Table for WooCommerce	クロスサイトスクリプティング	<= 5.0.8	5.0.9	中	CVE-2025-12398
Five Star Restaurant Reservations – WordPress Booking Plugin	クロスサイトスクリプティング	<= 2.7.5	2.7.7	中	CVE-2025-11496
Frontend Post Submission Manager Lite – Frontend Posting WordPress Plugin	Missing Authorization to Unauthenticated Arbitrary Post Modification	<= 1.2.5	1.2.6	中	CVE-2025-14080
Tainacan	Missing Authorization to Unauthenticated Arbitrary Metadata Section Creation	<= 1.0.1	1.0.2	中	CVE-2025-14043
WC Builder – WooCommerce Page Builder for WPBakery	クロスサイトスクリプティング	<= 1.2.0	1.2.1	中	CVE-2025-14054
Web to SugarCRM Lead	クロスサイトリクエストフォージェリ	<= 1.0.0	1.0.1	中	CVE-2025-13361
WP JobHunt	安全でない直接オブジェクト参照	<= 7.7	–	中	CVE-2025-7733
Migration, Backup, Staging – WPvivid Backup & Migration	Authenticated (Admin+) Arbitrary Directory Creation	<= 0.9.120	0.9.121	低	CVE-2025-12654
Health Check & Troubleshooting	パストラバーサル	<= 1.7.1	–	低	CVE-2025-64253
Flex Store Users	権限昇格	<= 1.1.0	–	高	CVE-2025-13619
File Uploader for WooCommerce	任意ファイルアップロード	<= 1.0.3	1.0.4	高	CVE-2025-13329
WP Webhooks – Automate repetitive tasks by creating powerful automation workflows directly within WordPress	任意ファイルアップロード	<= 3.3.8	3.3.9	高	CVE-2025-66074
Overstock Affiliate Links	クロスサイトスクリプティング	<= 1.1	–	中	CVE-2025-13624
WP Hallo Welt	クロスサイトスクリプティング	<= 1.4.	–	中	CVE-2025-13365
Attachments Handler	クロスサイトスクリプティング	<= 1.1.7	–	中	CVE-2025-12581
RESPONSIVE AND SWIPE SLIDER!	クロスサイトスクリプティング	<= 1.0.2	–	中	CVE-2025-14721
FiboSearch – Ajax Search for WooCommerce	クロスサイトスクリプティング	<= 1.32.0	1.32.1	中	CVE-2025-14298
Amazon affiliate lite Plugin	クロスサイトリクエストフォージェリ	<= 1.0.0	–	中	CVE-2025-14734
Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin	Unauthenticated Sensitive Information Exposure	<= 2.11.0	2.11.1	中	CVE-2025-12492
Pretty Google Calendar	Missing Authorization to Unauthenticated Google API Key Exposure	<= 2.0.0	2.0.1	中	CVE-2025-12898
F70 Lead Document Download	Missing Authorization to Unauthenticated Arbitrary Media File Download	<= 1.4.4	–	中	CVE-2025-14633
Amazon affiliate lite Plugin	クロスサイトスクリプティング	<= 1.0.0	–	中	CVE-2025-14735
Quran Gateway	クロスサイトリクエストフォージェリ	<= 1.5	–	中	CVE-2025-14164
WP DB Booster	クロスサイトリクエストフォージェリ	<= 1.0.1	–	中	CVE-2025-14168
Traveler Option Tree	Authenticated (Editor+) Information Exposure	<= 2.8	–	低	CVE-2025-49300
HTML5 Audio Player – The Ultimate No-Code Podcast, MP3 & Audio Player	サーバーサイドリクエストフォージェリ	2.4.0 – 2.5.1	2.5.2	高	CVE-2025-13999
Colibri Page Builder	クロスサイトスクリプティング	<= 1.0.345	1.0.358	中	CVE-2025-11747
BA Book Everything	クロスサイトスクリプティング	<= 1.8.14	1.8.15	中	CVE-2025-14449
SlimStat Analytics	クロスサイトスクリプティング	<= 5.3.2	5.3.3	中	CVE-2025-14151
Image Photo Gallery Final Tiles Grid	Missing Authorization to Authenticated (Contributor+) Gallery Management	<= 3.6.7	3.6.8	中	CVE-2025-14455
Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin	Missing Authorization to Unauthenticated Sensitive Information Exposure	<= 1.6.9.16	1.6.9.17	中	CVE-2025-13754
myCred – Points Management System For Gamification, Ranks, Badges, and Loyalty Program.	Missing Authorization to Sensitive Information Exposure	<= 2.9.7.1	2.9.7.2	中	CVE-2025-12361
Demo Importer Plus	権限昇格	<= 2.0.8	2.0.9	高	CVE-2025-14364
Photo Gallery, Sliders, Proofing and Themes – NextGEN Gallery	ローカルファイルインクルージョン	<= 3.59.12	4.0.0	高	CVE-2025-13641
Hummingbird Performance – Cache & Page Speed Optimization for Core Web Vitals \| Critical CSS \| Minify CSS \| Defer CSS Javascript \| CDN	Unauthenticated Sensitive Information Exposure via Log File	<= 3.18.0	3.18.1	高	CVE-2025-14437
Embed Any Document – Embed PDF, Word, PowerPoint and Excel Files	クロスサイトスクリプティング	<= 2.7.10	2.7.11	中	CVE-2025-12885
OpenID Connect Generic Client	クロスサイトスクリプティング	<= 3.10.0	3.10.1	中	CVE-2025-13730
Events Manager – Calendar, Bookings, Tickets, and more!	クロスサイトスクリプティング	<= 7.2.2.1	7.2.3	中	CVE-2025-12976
Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin	クロスサイトスクリプティング	<= 2.11.0	2.11.1	中	CVE-2025-13217
Live Composer – Free WordPress Website Builder	クロスサイトスクリプティング	<= 2.0.2	2.0.3	中	CVE-2025-13537
Sweet Energy Efficiency	Missing Authorization to Authenticated (Subscriber+) Arbitrary Graph Deletion	<= 1.0.6	1.0.7	中	CVE-2025-14618
Prime Slider – Addons for Elementor	サーバーサイドリクエストフォージェリ	<= 4.0.9	4.1.0	中	CVE-2025-14277
HUSKY – Products Filter Professional for WooCommerce	安全でない直接オブジェクト参照	<= 1.3.7.3	1.3.7.4	中	CVE-2025-13110
Download Manager	Missing Authorization to Authenticated (Subscriber+) Media Attachment Password Disclosure	<= 3.3.32	3.3.33	中	CVE-2025-13498
Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin	Authenticated (Subscriber+) Profile Privacy Setting Bypass	<= 2.11.0	2.11.1	中	CVE-2025-14081
Ninja Forms – The Contact Form Builder That Grows With You	安全でない直接オブジェクト参照	<= 3.13.2	3.13.3	高	CVE-2025-11924
WP Social Ninja – Embed Social Feeds, User Reviews & Chat Widgets	Missing Authorization to Unauthenticated Plugin's Settings Disclosure And Modification	<= 4.0.1	4.0.2	中	CVE-2025-13880
WP Recipe Maker	クロスサイトスクリプティング	<= 10.2.3	10.2.4	中	CVE-2025-14385
Essential Addons for Elementor – Popular Elementor Templates & Widgets	クロスサイトスクリプティング	<= 6.5.3	6.5.4	中	CVE-2025-13977
Better Messages – Live Chat for WordPress, BuddyPress, PeepSo, Ultimate Member, BuddyBoss	クロスサイトスクリプティング	<= 2.10.2	2.10.3	中	CVE-2025-14154
HTML Forms – Simple WordPress Forms Plugin	クロスサイトスクリプティング	<= 1.6.0	1.6.1	中	CVE-2025-13861
Cookie Banner, Cookie Consent, Consent Log, Cookie Scanner, Script Blocker (for GDPR, CCPA & ePrivacy) : WP Cookie Consent	Missing Authorization to Unauthenticated Arbitrary Post Deletion	<= 4.0.7	4.0.8	中	CVE-2025-14061
Zephyr Project Manager	サーバーサイドリクエストフォージェリ	<= 3.3.203	3.3.204	中	CVE-2025-12496
Download Plugins and Themes in ZIP from Dashboard	クロスサイトリクエストフォージェリ	<= 1.9.6	1.9.7	中	CVE-2025-14399
Converter for Media – Optimize images \| Convert WebP & AVIF	Missing Authorization to Authenticated (Subscriber+) Optimized Image Deletion via regenerate-attachment REST Endpoint	<= 6.3.2	6.4.0	中	CVE-2025-13750
Gutenberg Essential Blocks – Page Builder for Gutenberg Blocks & Patterns	情報開示	<= 5.7.2	5.7.3	中	CVE-2025-11369
WP Fastest Cache Premium	サーバーサイドリクエストフォージェリ	<= 1.7.4	1.7.5	低	CVE-2025-10583
Fox LMS – WordPress LMS Plugin	権限昇格	1.0.4.7 – 1.0.5.1	1.0.5.2	高	CVE-2025-14156
WPCOM Member	認証回避	<= 1.7.16	1.7.17	高	CVE-2025-14002
Booking Calendar	SQLインジェクション	<= 10.14.8	10.14.9	高	CVE-2025-14383
Fancy Product Designer	サーバーサイドリクエストフォージェリ	<= 6.4.8	6.5.0	中	CVE-2025-13231
LearnPress – WordPress LMS Plugin	クロスサイトスクリプティング	<= 4.3.1	4.3.2	中	CVE-2025-14387
FluentAuth – The Ultimate Authorization & Security Plugin for WordPress	クロスサイトスクリプティング	<= 2.0.3	2.1.0	中	CVE-2025-13728
RegistrationMagic – Custom Registration Forms, User Registration, Payment, and User Login	クロスサイトスクリプティング	<= 6.0.6.7	6.0.6.8	中	CVE-2025-13610
CC Child Pages	クロスサイトスクリプティング	<= 2.0.0	2.0.1	中	CVE-2025-13608
User Registration & Membership – Custom Registration Form Builder, Custom Login Form, User Profile, Content Restriction & Membership Plugin	クロスサイトスクリプティング	<= 4.4.6	4.4.7	中	CVE-2025-13367
Elementor Website Builder – More Than Just a Page Builder	クロスサイトスクリプティング	<= 3.33.3	3.33.4	中	CVE-2025-11220
Fancy Product Designer	情報開示	<= 6.4.8	6.5.0	中	CVE-2025-13439
JetFormBuilder — Dynamic Blocks Form Builder	Missing Authorization to Unauthenticated Form Generation	<= 3.5.3	3.5.4	中	CVE-2025-11991
Dokan Pro	Missing Authorization to Unauthenticated Sensitive Information Exposure	<= 4.1.3	4.2.0	中	CVE-2025-12809
LearnPress – WordPress LMS Plugin	Missing Authorization to Unauthenticated Orders Statistics Exposure	<= 4.3.1	4.3.2	中	CVE-2025-13956
OneSignal – Web Push Notifications	Missing Authorization to Unauthenticated Plugin Settings Update	<= 3.6.1	3.6.2	中	CVE-2025-13950
Auto Featured Image (Auto Post Thumbnail)	Missing Authorization to Authenticated (Contributor+) Post Thumbnail Modification	<= 4.2.1	4.2.2	中	CVE-2025-13794
Image Gallery – Photo Grid & Video Gallery	Missing Authorization to Authenticated (Author+) Arbitrary Gallery Modification	<= 2.13.3	2.13.4	中	CVE-2025-14003
FileBird – WordPress Media Library Folders & File Manager	Missing Authorization to Authenticated (Author+) Global Folders Tampering	<= 6.5.1	6.5.2	中	CVE-2025-12900
Schedule Post Changes With PublishPress Future: Unpublish, Delete, Change Status, Trash, Change Categories	Missing Authorization to Authenticated (Contributor+) Authors' Emails Exposure	<= 4.9.2	4.9.3	中	CVE-2025-13741
Lightweight Accordion	クロスサイトスクリプティング	<= 1.5.20	1.6.0	中	CVE-2025-13740
wpForo Forum	SQLインジェクション	<= 2.4.12	2.4.13	高	CVE-2025-13126
Addon Elements for Elementor (formerly Elementor Addon Elements)	クロスサイトスクリプティング	<= 1.14.3	1.14.4	中	CVE-2025-12537
URL Shortener Plugin For WordPress	SQLインジェクション	<= 3.0.7	–	高	CVE-2025-10738
JAY Login & Register	認証回避	<= 2.4.01	2.5.01	高	CVE-2025-14440
Export WP Pages to HTML & PDF – Simply Create a Static Website	Unauthenticated Cookie Exposure via Log File	<= 4.3.4	5.0.0	高	CVE-2025-11693
WP3D Model Import Viewer	任意ファイルアップロード	<= 1.0.7	–	高	CVE-2025-13094
Doubly – Cross Domain Copy Paste for WordPress	Authenticated (Subscriber+) PHP Object Injection via ZIP File Import	<= 1.0.46	1.0.47	高	CVE-2025-14476
Postem Ipsum	権限昇格	<= 3.0.1	–	高	CVE-2025-14397
Extensive VC Addons for WPBakery page builder	ローカルファイルインクルージョン	<= 1.9.1	–	高	CVE-2025-14475
افزونه پیامک ووکامرس فوق حرفه ای (جدید) payamito sms woocommerce	SQLインジェクション	<= 1.3.5	–	高	CVE-2025-13077
WP Directory Kit	SQLインジェクション	<= 1.4.7	1.4.8	高	CVE-2025-13089
Brizy – Page Builder	Authenticated (Contributor+) Sensitive Information Exposure via get_users Function	<= 2.7.16	2.7.17	中	CVE-2025-0969
MediaCommander – Bring Folders to Media, Posts, and Pages	Missing Authorization to Authenticated (Author+) Media Folder Deletion	<= 2.3.1	2.4.0	中	CVE-2025-14508
Easy Notify Lite	Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Settings Reset	<= 1.1.37	1.1.39	中	CVE-2025-14446
Marquee Addons for Elementor – Advanced Elements & Modern Motion Widgets	クロスサイトスクリプティング	<= 2.4.3	3.0.0	中	CVE-2025-8199
Enter Addons – Ultimate Template Builder for Elementor	クロスサイトスクリプティング	<= 2.2.7	2.2.8	中	CVE-2025-8687
Popup Builder – Create highly converting, mobile friendly marketing popups.	クロスサイトスクリプティング	<= 4.4.1	4.4.2	中	CVE-2025-9856
All-in-One Addons for Elementor – WidgetKit	クロスサイトスクリプティング	<= 2.5.6	2.5.7	中	CVE-2025-8779
Custom Frames	クロスサイトスクリプティング	<= 1.0.1	–	中	CVE-2025-13705
Shortcode Ajax	Unauthenticated Arbitrary Shortcode Execution via 'code' Parameter	<= 1.0	–	中	CVE-2025-14539
TI WooCommerce Wishlist	Unauthenticated HTML Injection	<= 2.10.0	2.11.0	中	CVE-2025-9207
myCred – Points Management System For Gamification, Ranks, Badges, and Loyalty Program.	Missing Authorization to Unauthenticated Withdrawal Request Approval	<= 2.9.7	2.9.7.1	中	CVE-2025-12362
Devs CRM – Manage tasks, attendance and teams all together	Unauthenticated Information Expsoure	<= 1.1.8	–	中	CVE-2025-13092
Devs CRM – Manage tasks, attendance and teams all together	Missing Authorization to Unauthenticated Lead Tag Update	<= 1.1.8	–	中	CVE-2025-13093
Easy Theme Options	Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Settings Import	<= 1.0	–	中	CVE-2025-14367
Solutions Ad Manager	オープンリダイレクト	<= 1.0.0	–	中	CVE-2025-14451
Quick Testimonials	クロスサイトスクリプティング	<= 2.1	–	中	CVE-2025-14378
Popover Windows	クロスサイトリクエストフォージェリ	<= 1.2	–	中	CVE-2025-14394
Popover Windows	Missing Authorization to Authenticated (Subscriber+) Popover Configuration Update via AJAX Actions	<= 1.2	–	中	CVE-2025-14395
Lucky Draw Contests	クロスサイトリクエストフォージェリ	<= 4.2	–	中	CVE-2025-14462
Userback	Missing Authorization to Authenticated (Subscriber+) Plugin's Configuration Exposure	<= 1.0.15	–	中	CVE-2025-14540
rtMedia for WordPress, BuddyPress and bbPress	情報開示	4.7.0 – 4.7.3	4.7.4	低	CVE-2025-9218
LazyTasks – Project & Task Management with Collaboration, Kanban and Gantt Chart	権限昇格	<= 1.2.29	–	高	CVE-2025-12963
Multi Uploader for Gravity Forms	任意ファイル削除	<= 1.1.7	1.1.8	高	CVE-2025-14344
Infility Global	任意ファイルアップロード	<= 2.14.42	2.14.43	高	CVE-2025-12968
Player Leaderboard	ローカルファイルインクルージョン	1.0.0 – 1.0.2	1.0.3	高	CVE-2025-12824
Blaze Demo Importer	1.0.13 – Missing Authorization to Authenticated (Subscriber+) Database Reset and File Deletion	1.0.0 – 1.0.13	1.0.14	高	CVE-2025-13334
Visitor Logic Lite	Unauthenticated PHP Object Injection via 'lpblocks' Cookie	<= 1.0.3	–	高	CVE-2025-14044
FunnelKit – Funnel Builder for WooCommerce Checkout	SQLインジェクション	<= 3.13.1.5	3.13.1.6	高	CVE-2025-14169
WPNakama – Team and multi-Client Collaboration, Editorial and Project Management	SQLインジェクション	<= 0.6.3	0.6.4	高	CVE-2025-14068
LT Unleashed	ローカルファイルインクルージョン	<= 1.1.1	–	高	CVE-2025-13886
The7 Elements	ローカルファイルインクルージョン	< 2.7.12	2.7.12	高	CVE-2025-63076
Fancy Product Designer	クロスサイトスクリプティング	<= 6.4.8	6.5.0	高	CVE-2025-12570
Simple CSV Table	ディレクトリトラバーサル	<= 1.0.1	1.0.2	中	CVE-2025-12960
Image Gallery – Photo Grid & Video Gallery	Missing Authorization to Arbitrary Directory Listing	<= 2.13.3	2.13.4	中	CVE-2025-13891
Magical Posts Display – Elementor Advanced Posts widgets	クロスサイトスクリプティング	<= 1.2.54	1.2.55	中	CVE-2025-12965
AI Feeds	クロスサイトスクリプティング	<= 1.0.22	1.0.23	中	CVE-2025-14030
Mailgun Subscriptions	クロスサイトスクリプティング	<= 1.3.1	1.3.2	中	CVE-2025-11876
Flow-Flow Social Feed Stream	クロスサイトスクリプティング	3.0.0 – 4.7.5	–	中	CVE-2025-13866
VikRentItems Flexible Rental Management System	クロスサイトスクリプティング	<= 1.2.0	1.2.1	中	CVE-2025-14049
MailerLite – Signup forms (official)	クロスサイトスクリプティング	<= 1.7.16	1.7.17	中	CVE-2025-13993
Simple Bike Rental	Missing Authorization to Authenticated (Subscriber+) Sensitive Booking Data Exposure	<= 1.0.6	1.0.7	中	CVE-2025-14065
Events Manager – Calendar, Bookings, Tickets, and more!	Unauthenticated Information Exposure	<= 7.2.2.2	7.2.2.3	中	CVE-2025-12408
Secure Copy Content Protection and Content Locking	Unauthenticated Sensitive Information Exposure via Exposed CSV Export File	<= 4.9.2	4.9.3	中	CVE-2025-14442
Email Subscribers & Newsletters – Powerful Email Marketing, Post Notification & Newsletter Plugin for WordPress & WooCommerce	Missing Authentication to Unauthenticated Action Scheduler Task Execution	<= 5.9.10	5.9.11	中	CVE-2025-12348
PDF for Contact Form 7 + Drag and Drop Template Builder	Missing Authorization to Authenticated (Subscriber+) Arbitrary Post Duplication	<= 6.3.3	6.3.4	中	CVE-2025-14074
Guest Support	Unauthenticated User Email Disclosure in guest_support_handler AJAX Endpoint	<= 1.2.3	1.3.0	中	CVE-2025-13660
Hippoo Mobile App for WooCommerce	Missing Authorization to Unauthenticated Limited File Write	<= 1.7.1	1.7.2	中	CVE-2025-12655
Contact Form 7 with ChatWork	クロスサイトスクリプティング	<= 1.1.0	–	中	CVE-2025-13975
Events Manager – Calendar, Bookings, Tickets, and more!	クロスサイトリクエストフォージェリ	<= 7.2.2.2	7.2.2.3	中	CVE-2025-12407
Secure Copy Content Protection and Content Locking	クロスサイトリクエストフォージェリ	<= 4.9.2	4.9.3	中	CVE-2025-14159
Ultra Addons for Contact Form 7	Missing Authorization to Authenticated (Subscriber+) to Generate Form Submission PDF	<= 3.5.33	3.5.34	中	CVE-2025-14356
Flexmls® IDX Plugin	オープンリダイレクト	<= 3.15.7	3.15.8	低	CVE-2025-67585
WP Directory Kit	認証回避	1.4.0 – 1.4.4	1.4.5	高	CVE-2025-13390
WP CarDealer	権限昇格	<= 1.2.16	1.2.17	高	CVE-2025-13764
Elated Membership	認証回避	<= 1.2	1.3	高	CVE-2025-13613
Flex QR Code Generator	任意ファイルアップロード	<= 1.2.7	1.2.8	高	CVE-2025-12673
User Verification by PickPlugins	認証回避	<= 2.0.44	2.0.45	高	CVE-2025-12374
CRM Memberships	権限昇格	<= 2.5	–	高	CVE-2025-13313
Frontend Admin by DynamiApps	Unauthenticated Arbitrary Options Update	<= 3.28.20	3.28.21	高	CVE-2025-13342
Advanced Custom Fields: Extended	リモートコード実行	0.9.0.5 – 0.9.1.1	0.9.2	高	CVE-2025-13486
DesignThemes LMS	権限昇格	<= 1.0.4	1.0.5	高	CVE-2025-13542
10Web Booster – Website speed optimization, Cache & Page Speed optimizer	Authenticated (Subscriber+) Arbitrary Folder Deletion via two_clear_page_cache	<= 2.32.7	2.32.11	高	CVE-2025-13377
Video Merchant	クロスサイトリクエストフォージェリ	<= 5.0.4	–	高	CVE-2025-14390
All-in-One Video Gallery	任意ファイルアップロード	4.5.4 – 4.5.7	4.6.4	高	CVE-2025-12966
Starter Templates – AI-Powered Templates for Elementor & Gutenberg	任意ファイルアップロード	<= 4.4.41	4.4.42	高	CVE-2025-13065
User Generator and Importer	クロスサイトリクエストフォージェリ	<= 1.2.2	–	高	CVE-2025-12879
ContentStudio	任意ファイルアップロード	<= 1.3.7	1.4.0	高	CVE-2025-12181
Featured Image via URL	任意ファイルアップロード	<= 0.1	–	高	CVE-2025-12153
Auto Thumbnailer	任意ファイルアップロード	<= 1.0	–	高	CVE-2025-12154
Demo Importer Plus	任意ファイルアップロード	<= 2.0.6	2.0.7	高	CVE-2025-13066
PostGallery	任意ファイルアップロード	<= 1.12.5	–	高	CVE-2025-13543
My auctions allegro	ローカルファイルインクルージョン	<= 3.6.32	3.6.33	高	CVE-2025-12851
Cool Tag Cloud	クロスサイトスクリプティング	<= 2.29	–	高	CVE-2025-13614
Hippoo Mobile App for WooCommerce	Unauthenticated Arbitrary File Read	<= 1.7.1	1.7.2	高	CVE-2025-13339
My auctions allegro	SQLインジェクション	<= 3.6.32	3.6.33	高	CVE-2025-12850
Image Gallery – Photo Grid & Video Gallery	任意ファイルアップロード	2.13.1 – 2.13.2	2.13.3	高	CVE-2025-13646
Login Security, FireWall, Malware removal by CleanTalk	クロスサイトスクリプティング	<= 2.168	2.169	高	CVE-2025-13604
Reviews Widget for Google, Yelp & Recommendations	クロスサイトスクリプティング	<= 2.5	2.6	高	CVE-2025-12705
Rich Shortcodes for Google Reviews	クロスサイトスクリプティング	<= 6.8	6.8.1	高	CVE-2025-12499
Widgets for Google Reviews	クロスサイトスクリプティング	<= 13.2.4	13.2.5	高	CVE-2025-12510
Time Sheets	Use of Known Vulnerable Component	<= 2.1.3	–	高	CVE-2013-6880
Omnichannel for WooCommerce: Google, Amazon, eBay & Walmart Integration – Powered by Codisto	クロスサイトスクリプティング	<= 1.3.65	–	高	CVE-2025-11727
List category posts	SQLインジェクション	<= 0.91.0	0.92.0	中	CVE-2025-10163
Widgets for Google Reviews	クロスサイトスクリプティング	<= 13.2.1	13.2.2	中	CVE-2025-9436
Generic Elements	クロスサイトスクリプティング	<= 1.2.8	–	中	CVE-2025-62082
WP Ultimate Review	クロスサイトスクリプティング	<= 2.3.6	–	中	CVE-2025-63057
Xpro Addons — 140+ Widgets for Elementor	クロスサイトスクリプティング	<= 1.4.19.1	–	中	CVE-2025-63044
Advanced FAQ Manager	クロスサイトスクリプティング	<= 1.5.2	1.5.3	中	CVE-2025-67556
FunnelKit – Funnel Builder for WooCommerce Checkout	クロスサイトスクリプティング	<= 3.13.1.2	3.13.1.3	中	CVE-2025-66067
RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator	サーバーサイドリクエストフォージェリ	<= 5.1.1	5.1.2	中	CVE-2025-11467
Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress	Authenticated (Subscriber+) Arbitrary Shortcode Execution	<= 4.16.7	4.16.8	中	CVE-2025-13642
WP-CRM System – Manage Clients and Projects	Missing Authorization	<= 3.4.5	–	中	CVE-2025-62740
Yandex.Metrica	Missing Authorization	<= 1.2.2	–	中	CVE-2025-63063
Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder	安全でない直接オブジェクト参照	<= 6.1.7	6.1.8	中	CVE-2025-13748
Simple Download Counter	パストラバーサル	<= 2.2.2	2.2.3	中	CVE-2025-13677
Make Section & Column Clickable For Elementor	クロスサイトスクリプティング	<= 2.4	–	中	CVE-2025-63033
Advanced Product Fields (Product Addons) for WooCommerce	クロスサイトリクエストフォージェリ	<= 1.6.17	1.6.18	中	CVE-2025-13924
Beaver Builder Page Builder – Drag and Drop Website Builder	Authenticated (Contributor+) Sensitive Information Exposure	<= 2.9.4	2.9.4.1	中	CVE-2025-12558
Contact Form by BestWebSoft – Advanced WP Contact Form Builder for WordPress	Missing Authorization	<= 4.3.5	–	中	CVE-2025-63056
Gravitec.net – Web Push Notifications	Missing Authorization	<= 2.9.17	2.9.18	中	CVE-2025-62869
Actionwear products sync	Missing Authorization	<= 2.3.3	–	中	CVE-2025-49350
Ergonet Cache	Missing Authorization	<= 1.0.11	–	中	CVE-2025-62867
MailerLite – WooCommerce integration	Missing Authorization to Data Deletion	<= 3.1.3	3.1.4	中	–
Fancy Product Designer	Unauthenticated Full Path Disclosure via 'pdf' Parameter	<= 6.4.8	6.5.0	中	–
WP Recipe Maker	安全でない直接オブジェクト参照	<= 10.2.2	10.2.3	中	–

テーマ

名称	脆弱性の種類	対象ver.	パッチ済ver.	重要度	CVE ID
fashion2	ローカルファイルインクルージョン	< 5.3.0	5.3.0	高	CVE-2025-67529
kerge	サーバーサイドリクエストフォージェリ	<= 4.1.3	4.1.4	高	CVE-2025-67989
wilmer	ローカルファイルインクルージョン	< 3.5	3.5	高	CVE-2025-67515
ekommart	ローカルファイルインクルージョン	< 4.3.1	4.3.1	高	CVE-2025-67525
besa	ローカルファイルインクルージョン	<= 2.3.15	2.3.16	高	CVE-2025-67530
sailing	ローカルファイルインクルージョン	< 4.4.6	4.4.6	高	CVE-2025-67526
hara	ローカルファイルインクルージョン	<= 1.2.17	1.2.18	高	CVE-2025-67532
urna	ローカルファイルインクルージョン	<= 2.5.12	2.5.13	高	CVE-2025-67528
edumall	ローカルファイルインクルージョン	<= 4.4.7	–	高	CVE-2025-68061
turitor	ローカルファイルインクルージョン	< 1.5.3	1.5.3	高	CVE-2025-67531
digiqole	ローカルファイルインクルージョン	< 2.2.7	2.2.7	高	CVE-2025-67527
minimog	ローカルファイルインクルージョン	<= 3.9.6	–	高	CVE-2025-68062
exhibz	ローカルファイルインクルージョン	<= 3.0.9	3.0.10	高	CVE-2025-67523

対応方法

パッチが提供されたバージョンはアップデートしましょう。
特に重要度が高のものは確実にアップデートしておきましょう。

カテゴリ：
タグ：