WordPress脆弱性情報:2026年01月分

2026年01月に確認されたWordPress関連の脆弱性情報です。プラグイン304件、テーマ29件、合計333件の脆弱性が報告されています。

2026年01月に確認されたWordPress関連の脆弱性情報です。

プラグイン304件、テーマ29件、合計333件の脆弱性が報告されています。

プラグイン

名称 脆弱性の種類 対象ver. パッチ済ver. 重要度 CVE ID
SupportCandy – Helpdesk & Customer Support Ticket System SQLインジェクション <= 3.4.4 3.4.5 CVE-2026-0683
Ajax Load More – Infinite Scroll, Load More, & Lazy Load Incorrect Authorization to Unauthenticated Private/Draft Post Title and Excerpt Exposure <= 7.8.1 7.8.2 CVE-2025-15525
Booking Calendar Missing Authorization to Unauthenticated Booking Details Exposure <= 10.14.13 10.14.14 CVE-2026-1431
NEX-Forms – Ultimate Forms Plugin for WordPress Missing Authorization to Unauthenticated Sensitive Information Exposure <= 9.1.8 9.1.9 CVE-2025-15510
LazyTasks – Project & Task Management with Collaboration, Kanban and Gantt Chart 権限昇格 <= 1.2.37 1.3.01 CVE-2025-68869
Hydra Booking — Appointment Scheduling & Booking Calendar 権限昇格 <= 1.1.32 1.1.33 CVE-2025-68027
Directorist Social Login 権限昇格 <= 2.1.1 CVE-2026-22337
Booking Activities 権限昇格 <= 1.16.44 1.16.45 CVE-2025-67953
Movie Booking 任意ファイル削除 <= 1.1.5 1.1.6 CVE-2025-67963
Kentha Elementor Widgets ローカルファイルインクルージョン < 3.1 3.1 CVE-2026-24390
Coven – Furniture Store WooCommerce Theme SQLインジェクション <= 1.3 CVE-2025-69295
Radio Player – Live Shoutcast, Icecast and Any Audio Stream Player サーバーサイドリクエストフォージェリ <= 2.0.91 CVE-2026-24548
Salon Booking System – Free Version Authenticated (Subscriber+) Information Exposure <= 10.30.3 10.30.4 CVE-2025-67954
Snow Monkey Forms パストラバーサル <= 12.0.3 12.0.4 CVE-2026-1056
Simple User Registration 権限昇格 <= 6.7 6.8 CVE-2026-0844
Search Atlas SEO – Premier SEO Plugin for One-Click WP Publishing & Integrated AI Optimization 認証回避 2.4.4 – 2.5.12 CVE-2025-14386
Frontend File Manager Plugin Missing Authorization to Unauthenticated Arbitrary File Sharing via 'file_id' Parameter <= 23.5 CVE-2026-1280
VidShop – Shoppable Videos for WooCommerce SQLインジェクション <= 1.1.4 1.1.5 CVE-2026-0702
Omnipress ローカルファイルインクルージョン <= 1.6.7 CVE-2026-24538
New User Approve 情報開示 <= 3.2.2 3.2.3 CVE-2026-0832
AI Engine – The Chatbot and AI Framework for WordPress 任意ファイルアップロード <= 3.3.2 3.3.3 CVE-2026-1400
TableMaster for Elementor – Advanced Responsive Tables for Elementor サーバーサイドリクエストフォージェリ <= 1.3.6 1.3.7 CVE-2025-14610
AhaChat Messenger Marketing クロスサイトスクリプティング <= 1.1 CVE-2025-14316
amr cron manager クロスサイトスクリプティング <= 2.3 CVE-2025-68848
Homey Core クロスサイトスクリプティング <= 2.4.3 2.4.4 CVE-2025-67964
Dinatur クロスサイトスクリプティング <= 1.18 CVE-2025-68866
BlockArt Blocks – Gutenberg Blocks, Page Builder Blocks ,WordPress Block Plugin, Sections & Template Library クロスサイトスクリプティング <= 2.2.14 2.2.15 CVE-2025-14283
Interactions – Create Interactive Experiences in the Block Editor クロスサイトスクリプティング <= 1.3.1 1.3.2 CVE-2025-12709
WPBITS Addons For Elementor Page Builder クロスサイトスクリプティング <= 1.8 1.8.1 CVE-2025-9082
Forms Bridge – Infinite integrations クロスサイトスクリプティング <= 4.2.5 4.3.0 CVE-2026-1244
Target Video Easy Publish クロスサイトスクリプティング <= 3.8.8 3.8.9 CVE-2025-8072
SEO Links Interlinking クロスサイトスクリプティング <= 1.7.9.9.1 1.7.9.9.2 CVE-2025-14063
Vzaar Media Management クロスサイトスクリプティング <= 1.2 CVE-2026-1391
Rupantorpay Missing Authorization to Unauthenticated Order Status Modification <= 2.0.0 CVE-2025-15511
Document Embedder – Embed PDFs, Word, Excel, and Other Files 安全でない直接オブジェクト参照 <= 2.0.4 2.0.5 CVE-2026-1389
RegistrationMagic – Custom Registration Forms, User Registration, Payment, and User Login Missing Authorization to Unauthenticated Arbitrary Settings Modification <= 6.0.7.4 6.0.7.5 CVE-2026-1054
Simple calendar for Elementor Missing Authorization to Unauthenticated Arbitrary Calendar Entry Deletion <= 1.6.6 1.6.7 CVE-2026-1310
Database for Contact Form 7, WPforms, Elementor forms Missing Authorization to Unauthenticated Form Data Exfiltration via CSV Export <= 1.4.5 1.4.6 CVE-2026-0825
WP Google Ad Manager Plugin クロスサイトスクリプティング <= 1.1.0 CVE-2026-1399
Order Minimum/Maximum Amount Limits for WooCommerce クロスサイトスクリプティング <= 4.6.8 4.6.9 CVE-2026-1381
Ivory Search – WordPress Search Plugin クロスサイトスクリプティング <= 5.5.13 5.5.14 CVE-2026-1053
Appointment Hour Booking – Booking Calendar クロスサイトスクリプティング <= 1.5.60 1.5.61 CVE-2026-1083
Bitcoin Donate Button クロスサイトリクエストフォージェリ <= 1.0 CVE-2026-1380
imwptip クロスサイトリクエストフォージェリ <= 1.1 CVE-2026-1377
Recooty – Job Widget (Old Dashboard) クロスサイトリクエストフォージェリ 1.0.1 – 1.0.6 CVE-2025-14616
Change WP URL クロスサイトリクエストフォージェリ <= 1.0 CVE-2026-1398
Link Invoice Payment for WooCommerce Missing Authorization to Unauthenticated Arbitrary Partial Payment Creation/Cancellation <= 2.8.0 2.8.1 CVE-2025-14971
Save as PDF Plugin by PDFCrowd クロスサイトスクリプティング <= 4.5.5 4.5.6 CVE-2026-0862
WP Go Maps (formerly WP Google Maps) Missing Authorization to Authenticated (Subscriber+) Map Engine Setting Modification <= 10.0.04 10.0.05 CVE-2026-0593
CubeWP Framework Unauthenticated Post Disclosure in class-cubewp-search-ajax-hooks.php <= 1.1.27 1.1.28 CVE-2025-6461
Kalrav AI Agent 任意ファイルアップロード <= 2.3.3 CVE-2025-13374
Hustle – Email Marketing, Lead Generation, Optins, Popups Authenticated (Subscriber+) Arbitrary File Upoload via Module Import <= 7.8.9.2 7.8.9.3 CVE-2026-0911
Administrative Shortcodes ローカルファイルインクルージョン <= 0.3.4 CVE-2026-1257
User Submitted Posts – Enable Users to Submit Posts from the Front End クロスサイトスクリプティング <= 20251210 20260110 CVE-2026-0800
Frontis Blocks — Block Library for the Block Editor サーバーサイドリクエストフォージェリ <= 1.1.6 1.1.7 CVE-2026-0807
LeadBI Plugin for WordPress クロスサイトスクリプティング <= 1.7 CVE-2026-1189
CM CSS Columns クロスサイトスクリプティング <= 1.2.1 CVE-2026-1098
Canto Testimonials クロスサイトスクリプティング <= 1.0 CVE-2026-1095
GZSEO クロスサイトスクリプティング <= 2.0.11 CVE-2025-14941
Timeline Event History クロスサイトスクリプティング <= 3.2 CVE-2026-1127
WP Directory Kit Unauthenticated Email Exposure via wdk_public_action <= 1.4.9 1.5.0 CVE-2025-13920
WP-ClanWars SQLインジェクション <= 2.0.1 CVE-2026-0806
Responsive Header Plugin クロスサイトスクリプティング <= 1.0 CVE-2026-1300
JavaScript Notifier クロスサイトスクリプティング <= 1.2.8 1.2.9 CVE-2026-1191
Postalicious クロスサイトスクリプティング <= 3.0.1 CVE-2026-1266
Meta-box GalleryMeta クロスサイトスクリプティング <= 3.0.1 3.1 CVE-2026-1302
SurveyJS: Drag & Drop Form Builder クロスサイトリクエストフォージェリ <= 2.5.2 2.5.3 CVE-2025-13205
SurveyJS: Drag & Drop Form Builder クロスサイトリクエストフォージェリ <= 2.5.2 2.5.3 CVE-2025-13194
SurveyJS: Drag & Drop Form Builder クロスサイトリクエストフォージェリ <= 2.5.2 2.5.3 CVE-2025-13139
Friendly Functions for Welcart クロスサイトリクエストフォージェリ <= 1.2.5 1.2.6 CVE-2026-1208
Meta-box GalleryMeta Missing Authorization to Authenticated (Author+) Gallery Management <= 3.0.1 3.1 CVE-2026-0687
Moderate Selected Posts クロスサイトリクエストフォージェリ <= 1.4 CVE-2025-14907
All-in-One Video Gallery 4.6.4 – Missing Authorization to Authenticated (Subscriber+) Limited User Meta Update 4.1.0 – 4.6.4 4.7.1 CVE-2025-15516
AdminQuickbar クロスサイトリクエストフォージェリ <= 1.9.3 CVE-2025-14630
Login Page Editor クロスサイトリクエストフォージェリ <= 1.2 CVE-2026-1088
MetForm – Contact Form, Survey, Quiz, & Custom Form Builder for Elementor Unauthenticated Form Submission Exposure via Forgeable Cookie Value <= 4.1.0 4.1.1 CVE-2026-0633
Melapress Role Editor 権限昇格 <= 1.1.1 1.2.0 CVE-2025-14866
BuddyPress Unauthenticated Arbitrary Shortcode Execution <= 14.3.3 14.3.4 CVE-2024-11976
Schema & Structured Data for WP & AMP クロスサイトスクリプティング <= 1.54 1.54.1 CVE-2025-14069
RSS Aggregator – RSS Import, News Feeds, Feed to Post, and Autoblogging クロスサイトスクリプティング <= 5.0.10 5.0.11 CVE-2025-14745
Uncanny Automator – Easy Automation, Integration, Webhooks & Workflow Builder Plugin クロスサイトスクリプティング <= 6.10.0.2 7.0.0 CVE-2025-15522
WP DSGVO Tools (GDPR) クロスサイトスクリプティング <= 3.1.36 3.1.37 CVE-2026-0914
KiviCare – Clinic & Patient Management System (EHR) 任意ファイルアップロード <= 3.6.15 3.6.16 CVE-2026-0927
weDocs: AI Powered Knowledge Base, Docs, Documentation, Wiki & AI Chatbot Missing Authorization to Authenticated (Subscriber+) Documentation Post Update <= 2.1.16 2.1.17 CVE-2025-13921
LA-Studio Element Kit for Elementor 権限昇格 <= 1.5.6.3 1.6.0 CVE-2026-0920
Photo Gallery by 10Web – Mobile-Friendly Image Gallery Missing Authorization to Unauthenticated Arbitrary Comment Deletion <= 1.8.36 1.8.37 CVE-2026-1036
Academy LMS – WordPress LMS Plugin for Complete eLearning Solution 権限昇格 <= 3.5.0 3.5.1 CVE-2025-15521
Creator LMS – The LMS for Creators, Coaches, and Trainers Missing Authorization to Authenticated (Contributor+) Arbitrary Options Update <= 1.1.12 1.1.13 CVE-2025-15347
Nexter Extension – Site Enhancements Toolkit Unauthenticated PHP Object Injection via 'nxt_unserialize_replace' <= 4.4.6 4.4.7 CVE-2026-0726
NotificationX – FOMO, Live Sales Notification, WooCommerce Sales Popup, GDPR, Social Proof, Announcement Banner & Floating Notification Bar クロスサイトスクリプティング <= 3.2.0 3.2.1 CVE-2025-15380
FlatPM – Ad Manager, AdSense and Custom Code クロスサイトスクリプティング <= 3.2.2 3.2.3 CVE-2026-0690
Head Meta Data クロスサイトスクリプティング <= 20251118 20260105 CVE-2026-0608
Tutor LMS – eLearning and online course solution Missing Authorization to Authenticated (Subscriber+) Limited Attachment Deletion <= 3.9.4 3.9.5 CVE-2026-0548
The Events Calendar Missing Authorization to Authenticated (Subscriber+) Data Migration Control <= 6.15.13 6.15.13.1 CVE-2025-15043
NotificationX – FOMO, Live Sales Notification, WooCommerce Sales Popup, GDPR, Social Proof, Announcement Banner & Floating Notification Bar Missing Authorization to Authenticated (Contributor+) Analytics Reset <= 3.1.11 3.2.1 CVE-2026-0554
Advanced Custom Fields: Extended 権限昇格 <= 0.9.2.1 0.9.2.2 CVE-2025-14533
Modular DS: Monitor, update, and backup multiple websites 権限昇格 2.5.2 2.6.0 CVE-2026-23800
g-FFL Checkout 任意ファイルアップロード <= 2.1.0 2.1.1 CVE-2025-68001
Workreap Core 認証回避 <= 3.4.0 CVE-2025-69101
Event Tickets with Ticket Scanner リモートコード実行 <= 2.8.5 2.8.6 CVE-2025-68015
Modular DS: Monitor, update, and backup multiple websites 権限昇格 <= 2.5.1 2.5.2 CVE-2026-23550
HDForms | Contact Form Builder 任意ファイル削除 <= 1.6.1 CVE-2025-68912
WPLMS Plugin 任意ファイル削除 <= 1.9.9.5.4 CVE-2025-69097
Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy 情報開示 <= 4.2.4 4.2.5 CVE-2025-14977
Antideo Email Validator SQLインジェクション <= 1.0.10 1.0.11 CVE-2025-68017
CleverReach® WP SQLインジェクション <= 1.5.21 1.5.22 CVE-2025-68034
Poll, Survey & Quiz Maker Plugin by Opinion Stage クロスサイトスクリプティング < 19.6.25 19.6.25 CVE-2019-25297
Infility Global クロスサイトスクリプティング <= 2.14.49 CVE-2025-68864
Synergy Project Manager クロスサイトスクリプティング <= 1.5 CVE-2025-68898
Omnichannel for WooCommerce: Google, Amazon, eBay & Walmart Integration – Powered by Codisto クロスサイトスクリプティング <= 1.3.65 CVE-2025-68041
Image Photo Gallery Final Tiles Grid Missing Authorization to Authenticated (Contributor+) Arbitrary Gallery Management <= 3.6.9 3.6.10 CVE-2025-15466
weMail – Email Marketing, Lead Generation, Optin Forms, Email Newsletters, A/B Testing, and Automation 情報開示 <= 2.0.7 2.0.8 CVE-2025-14348
Custom Fonts – Host Your Fonts Locally Missing Authorization to Unauthenticated Font Deletion <= 2.1.16 2.1.17 CVE-2025-14351
LearnPress – WordPress LMS Plugin for Create and Sell Online Courses 情報開示 <= 4.3.2.4 4.3.2.5 CVE-2025-14798
PeachPay — Payments & Express Checkout for WooCommerce (supports Stripe, PayPal, Square, Authorize.net) Missing Authorization to Unauthenticated Order Status Modification <= 1.119.8 1.119.9 CVE-2025-14978
WP Hello Bar クロスサイトスクリプティング <= 1.02 CVE-2026-1042
Viet contact クロスサイトスクリプティング <= 1.3.2 CVE-2026-1045
Newsletter – Send awesome emails from WordPress クロスサイトリクエストフォージェリ <= 9.1.0 9.1.1 CVE-2026-1051
RegistrationMagic – Custom Registration Forms, User Registration, Payment, and User Login 権限昇格 <= 6.0.7.1 6.0.7.2 CVE-2025-15403
Registration & Login with Mobile Phone Number for WooCommerce 認証回避 <= 1.3.1 1.3.2 CVE-2025-10484
Demo Importer Plus ファイルアップロード <= 2.0.9 2.0.10 CVE-2025-14478
Thim Blocks Authenticated (Contributor+) Arbitrary File Read via 'iconSVG' Parameter <= 1.0.1 1.0.2 CVE-2025-13725
Wallet System for WooCommerce – Digital Wallet, Buy Now Pay Later (BNPL), Instant Cashback, Referral program, Partial & Subscription Payments Missing Authorization to Authenticated (Subscriber+) Arbitrary Wallet Balance Manipulation <= 2.7.2 2.7.3 CVE-2025-14450
CubeWP Framework クロスサイトスクリプティング <= 1.1.26 1.1.27 CVE-2025-8615
Team Section Block – Showcase Team Members with Layout Options クロスサイトスクリプティング <= 2.0.0 2.0.1 CVE-2026-0833
YouTube Feed Pro パストラバーサル <= 2.6.0 2.6.1 CVE-2025-12002
Quick Contact Form Unauthenticated Open Mail Relay <= 8.2.6 8.2.7 CVE-2025-12718
PAYGENT for WooCommerce Missing Authorization to Unauthenticated Payment Callback Manipulation <= 2.4.6 2.4.7 CVE-2025-14078
CubeWP Framework Unauthenticated Information Exposure <= 1.1.27 1.1.28 CVE-2025-12129
Spin Wheel – Interactive spinning wheel that offers coupons Unauthenticated Client-Side Prize Manipulation via 'prize_index' Parameter <= 2.1.0 2.1.1 CVE-2026-0808
Community Events Missing Authorization to Unauthenticated Arbitrary Event Approval via 'eventlist' Parameter <= 1.5.6 1.5.7 CVE-2025-14029
Payment Button for PayPal Missing Authorization to Unauthenticated Arbitrary Order Creation <= 1.2.3.41 1.2.3.42 CVE-2025-14463
RepairBuddy – Repair Shop CRM & Booking Plugin for WordPress 安全でない直接オブジェクト参照 <= 4.1116 4.1121 CVE-2026-0820
WP Hotel Booking Unauthenticated Sensitive Information Exposure via 'email' Parameter <= 2.2.7 2.2.8 CVE-2025-14075
User Registration Using Contact Form 7 Authenticated (Subscriber+) Information Exposure <= 2.5 2.6 CVE-2025-12825
Advanced Ads – Ad Manager & AdSense SQLインジェクション <= 2.0.15 2.0.16 CVE-2025-12984
Integrate Dynamics 365 CRM クロスサイトスクリプティング <= 1.1.1 1.1.2 CVE-2026-0725
Filr – Secure document library クロスサイトスクリプティング <= 1.2.11 1.2.12 CVE-2025-14632
CM E-Mail Blacklist – Simple email filtering for safer registration クロスサイトスクリプティング <= 1.6.2 1.6.3 CVE-2026-0691
Phrase TMS Integration for WordPress Missing Authorization to Authenticated (Subscriber+) Log Deletion <= 4.7.5 4.7.6 CVE-2025-12168
Church Admin サーバーサイドリクエストフォージェリ <= 5.0.28 5.0.29 CVE-2026-0682
All-in-One Video Gallery 任意ファイルアップロード <= 4.5.7 4.6.4 CVE-2025-12957
Supreme Modules Lite – Divi Theme, Extra Theme and Divi Builder 任意ファイルアップロード <= 2.5.62 2.5.63 CVE-2025-13062
Membership Plugin – Restrict Content 安全でない直接オブジェクト参照 <= 3.2.16 3.2.17 CVE-2025-14844
Awesome Support – WordPress HelpDesk & Support Plugin Missing Authorization to Unauthenticated Role Demotion <= 6.3.6 6.3.7 CVE-2025-12641
Related Posts by Taxonomy クロスサイトスクリプティング <= 2.7.6 2.7.7 CVE-2026-0916
User Submitted Posts – Enable Users to Submit Posts from the Front End クロスサイトスクリプティング <= 20260110 20260113 CVE-2026-0913
RSS Aggregator – RSS Import, News Feeds, Feed to Post, and Autoblogging クロスサイトスクリプティング <= 5.0.10 5.0.11 CVE-2025-14375
Cost Calculator Builder Missing Authorization to Unauthenticated Payment Status Bypass <= 3.6.9 3.6.10 CVE-2025-14757
Essential Addons for Elementor – Popular Elementor Templates & Widgets Missing Authorization to Unauthenticated Sensitive Information Exposure <= 6.5.5 6.5.6 CVE-2026-1004
Rede Itaú for WooCommerce — Payment PIX, Credit Card and Debit Missing Authorization to Unauthenticated Rede Order Logs Deletion <= 5.1.5 5.1.6 CVE-2026-0942
Rede Itaú for WooCommerce — Payment PIX, Credit Card and Debit Unauthenticated Order Status Manipulation <= 5.1.2 5.1.3 CVE-2026-0939
DK PDF – WordPress PDF Generator サーバーサイドリクエストフォージェリ <= 2.3.0 2.3.1 CVE-2025-14793
LEAV Last Email Address Validator クロスサイトリクエストフォージェリ <= 1.7.1 CVE-2025-14853
All in One SEO – Powerful SEO Plugin to Boost SEO Rankings & Increase Traffic Missing Authorization to Authenticated (Contributor+) AI Access Token and Credit Disclosure <= 4.9.2 4.9.3 CVE-2025-14384
Booking Calendar Missing Authorization to Sensitive Information Exposure <= 10.14.11 10.14.12 CVE-2025-14982
Shield: Blocks Bots, Protects Users, and Prevents Security Breaches 安全でない直接オブジェクト参照 <= 21.0.9 21.0.10 CVE-2025-15370
GetGenie – AI Content Writer with Keyword Research & SEO Tracking Tools Missing Authorization to Authenticated (Author+) Arbitrary Post Deletion <= 4.3.0 4.3.1 CVE-2026-1003
Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin SQLインジェクション <= 1.6.9.9 1.6.9.13 CVE-2025-12166
Felan Framework SQLインジェクション <= 1.1.3 CVE-2025-23993
AffiliateX – Amazon Affiliate Plugin クロスサイトスクリプティング 1.0.0 – 1.3.9.3 1.4.0 CVE-2025-13859
WP-Members Membership Plugin クロスサイトスクリプティング <= 3.5.4.3 3.5.4.4 CVE-2025-14448
Drag and Drop Multiple File Upload for Contact Form 7 Missing Authorization to Unauthenticated File Deletion <= 1.3.9.2 1.3.9.3 CVE-2025-14457
News and Blog Designer Bundle ローカルファイルインクルージョン <= 1.1 CVE-2025-14502
Integration Opvius AI for WooCommerce パストラバーサル <= 1.3.0 CVE-2025-14301
Shipping Rate By Cities SQLインジェクション <= 2.0.0 2.0.1 CVE-2025-14770
TheGem Theme Elements ローカルファイルインクルージョン <= 5.11.0 5.11.1 CVE-2025-69356
AJS Footnotes クロスサイトスクリプティング <= 1.0 CVE-2025-15378
Name Directory クロスサイトスクリプティング <= 1.30.3 1.31.0 CVE-2025-15283
GeekyBot — Generate AI Content Without Prompt, Chatbot and Lead Generation クロスサイトスクリプティング <= 1.1.8 1.1.9 CVE-2025-15266
GetContentFromURL サーバーサイドリクエストフォージェリ <= 1.0 CVE-2025-14613
WP Virtual Assistant クロスサイトスクリプティング <= 3.0 CVE-2025-22725
DASHBOARD BUILDER – WordPress plugin for Charts and Graphs SQLインジェクション <= 1.5.7 CVE-2025-14615
Gotham Block Extra Light Authenticated (Contributor+) Arbitrary File Read via 'ghostban' Shortcode <= 1.5.0 1.6.0 CVE-2025-15020
SpiceForms Form Builder クロスサイトスクリプティング <= 1.0 CVE-2025-12178
List Site Contributors クロスサイトスクリプティング <= 1.1.8 CVE-2026-0594
Float Payment Gateway Improper Authorization to Unauthenticated Order Status Manipulation <= 1.1.9 1.1.10 CVE-2025-15513
Aplazo Payment Gateway Missing Authorization to Unauthenticated Order Status Manipulation <= 1.4.2 CVE-2025-15512
PayHere Payment Gateway Missing Authorization to Unauthenticated Order Status Modification <= 2.3.9 2.4.0 CVE-2025-15475
Perfit WooCommerce Missing Authorization to Unauthenticated Arbitrary Plugin Settings Deletion <= 1.0.1 CVE-2025-14173
Netcash WooCommerce Payment Gateway Missing Authorization to Unauthenticated Order Status Modification <= 4.1.3 4.1.4 CVE-2025-14880
Shipping Rates by City for WooCommerce SQLインジェクション <= 1.0.3 CVE-2026-0678
WP Allowed Hosts クロスサイトスクリプティング <= 1.0.8 CVE-2026-0734
LinkedIn SC クロスサイトスクリプティング <= 1.1.9 CVE-2026-0812
WMF Mobile Redirector クロスサイトスクリプティング <= 1.2 CVE-2026-0739
Short Link クロスサイトスクリプティング <= 1.0 CVE-2026-0813
Electric Studio Download Counter クロスサイトスクリプティング <= 2.4 CVE-2026-0741
Gotham Block Extra Light クロスサイトスクリプティング <= 1.5.0 1.6.0 CVE-2025-15021
Stopwords for comments クロスサイトリクエストフォージェリ <= 1.1 CVE-2025-15376
SocialChamp with WordPress クロスサイトリクエストフォージェリ <= 1.3.3 CVE-2025-14846
Sosh Share Buttons クロスサイトリクエストフォージェリ <= 1.1.0 CVE-2025-15377
WPBlogSyn クロスサイトリクエストフォージェリ <= 1.0 CVE-2025-14389
Crush.pics Image Optimizer – Image Compression and Optimization Missing Authorization to Authenticated (Subscriber+) Plugin Settings Update <= 1.8.7 CVE-2025-14482
WP Duplicate Page Missing Authorization to Authenticated (Contributor+) Arbitrary Post Duplication <= 1.8 1.8.1 CVE-2025-14001
EventPrime – Events Calendar, Bookings and Tickets Unauthenticated Sensitive Information Exposure via REST API <= 4.2.7.0 4.2.8.0 CVE-2025-14507
Featured Image from URL (FIFU) サーバーサイドリクエストフォージェリ <= 5.3.1 5.3.2 CVE-2025-13393
WooCommerce Square 安全でない直接オブジェクト参照 <=5.1.1 CVE-2025-13457
ConvertForce Popup Builder クロスサイトスクリプティング <= 0.0.7 0.0.8 CVE-2025-14506
Countdown Timer – Widget Countdown クロスサイトスクリプティング <= 2.7.7 2.7.8 CVE-2025-14555
Shortcodes and extra features for Phlox theme クロスサイトスクリプティング <= 2.17.13 2.17.14 CVE-2025-12379
User Registration & Membership – Custom Registration Form Builder, Custom Login Form, User Profile, Content Restriction & Membership Plugin クロスサイトリクエストフォージェリ <= 4.4.8 4.4.9 CVE-2025-14976
Templately – Elementor & Gutenberg Template Library: 6500+ Free & Pro Ready Templates And Cloud! Unauthenticated Limited Arbitrary JSON File Write <= 3.4.8 3.4.9 CVE-2026-0831
miniOrange OTP Verification and SMS Notification for WooCommerce Missing Authorization to Unauthenticated Notification Settings Modification <= 4.3.8 4.3.9 CVE-2025-14948
Blog2Social: Social Media Auto Post & Scheduler Incorrect Authorization to Authenticated (Subscriber+) Sensitive Information Exposure <= 8.7.2 8.7.3 CVE-2025-14943
Frontend Admin by DynamiApps 権限昇格 <= 3.28.25 3.28.26 CVE-2025-14736
Frontend Admin by DynamiApps Missing Authorization to Unauthenticated Arbitrary Data Deletion via 'delete post' Form Element <= 3.28.25 3.28.26 CVE-2025-14741
Frontend Admin by DynamiApps クロスサイトスクリプティング <= 3.28.23 3.28.24 CVE-2025-14937
Eventin – Event Manager, Event Booking, Calendar, Tickets and Registration Plugin (AI Powered) クロスサイトスクリプティング <= 4.0.51 4.0.52 CVE-2025-14657
SlimStat Analytics クロスサイトスクリプティング <= 5.3.3 5.3.4 CVE-2025-15057
SlimStat Analytics クロスサイトスクリプティング <= 5.3.4 5.3.5 CVE-2025-15055
Brevo for WooCommerce クロスサイトスクリプティング <= 4.0.49 4.0.50 CVE-2025-14436
WP Page Permalink Extension Missing Authorization to Authenticated (Subscriber+) Arbitrary Rewrite Rules Flush <= 1.5.4 CVE-2025-14172
Autogen Headers Menu クロスサイトスクリプティング <= 1.0.1 CVE-2025-13704
Woodpecker for WordPress クロスサイトスクリプティング <= 3.0.4 CVE-2025-13967
PullQuote クロスサイトスクリプティング <= 1.0 CVE-2025-13903
Client Testimonial Slider クロスサイトスクリプティング <= 2.0 CVE-2025-13897
Debt.com Business in a Box クロスサイトスクリプティング <= 4.1.0 CVE-2025-13852
Menu Card クロスサイトスクリプティング <= 0.8.0 CVE-2025-13862
Curved Text クロスサイトスクリプティング <= 0.1 CVE-2025-13854
The Tooltip クロスサイトスクリプティング <= 1.0.2 CVE-2025-13908
Header and Footer Scripts クロスサイトスクリプティング <= 2.3.0 2.4.0 CVE-2025-11453
WP Popup Magic クロスサイトスクリプティング <= 1.0.0 CVE-2025-13900
Nearby Now Reviews クロスサイトスクリプティング <= 5.2 CVE-2025-13853
Entry Views クロスサイトスクリプティング <= 1.0.0 CVE-2025-13729
AMP for WP – Accelerated Mobile Pages クロスサイトスクリプティング <= 1.1.10 1.1.11 CVE-2026-0627
Shabat Keeper クロスサイトスクリプティング <= 0.4.4 CVE-2025-13701
Lesson Plan Book クロスサイトスクリプティング <= 1.3 CVE-2025-13893
MG AdvancedOptions クロスサイトスクリプティング <= 1.2 CVE-2025-13892
Top Position Google Finance クロスサイトスクリプティング <= 0.1.0 CVE-2025-13895
Contact Form vCard Generator Missing Authorization to Unauthenticated Sensitive Information Exposure via 'wp-gvc-cf-download-id' Parameter <= 2.4 CVE-2025-13717
Booking Calendar Unauthenticated Sensitive Information Exposure <= 10.14.10 10.14.11 CVE-2025-14146
Tutor LMS – eLearning and online course solution Missing Authorization to Authenticated (Subscriber+) Sensitive Information Exposure via tutor_order_details <= 3.9.3 3.9.4 CVE-2025-13679
Gutenverse Form – Contact Form Builder, Booking, Reservation, Subscribe for Block Editor クロスサイトスクリプティング <= 2.3.2 2.4.0 CVE-2025-14984
Jeg Kit for Elementor – Powerful Addons for Elementor, Widgets & Templates for WordPress クロスサイトスクリプティング <= 3.0.1 3.0.2 CVE-2025-14275
Folders – Unlimited Folders to Organize Media Library Folder, Pages, Posts, File Manager Missing Authorization to Authenticated (Author+) Media Replacement <= 3.1.5 3.1.6 CVE-2025-12640
Optional Email 権限昇格 <= 1.3.11 CVE-2025-15018
Mobile builder 認証回避 <= 1.4.2 CVE-2025-68860
WP Enable WebP 任意ファイルアップロード <= 1.0 CVE-2025-15158
Money Space Unauthenticated Sensitive Information Exposure <= 2.13.9 2.14.0 CVE-2025-13371
iPaymu Payment Gateway for WooCommerce 情報開示 <= 2.0.2 2.0.3 CVE-2026-0656
Reviewify — Review Discounts & Photo/Video Reviews for WooCommerce リモートコード実行 <= 1.0.7 1.0.8 CVE-2025-14070
Yoco Payments Unauthenticated Arbitrary File Read <= 3.9.0 3.9.1 CVE-2025-13801
Latest Registered Users Missing Authorization to Unauthenticated Sensitive Information Exposure via User Data Export <= 1.4 CVE-2025-13493
User Activity Log Unauthenticated Limited Options Update via Failed Login <= 2.2 CVE-2025-11877
WP Photo Album Plus クロスサイトスクリプティング <= 9.1.05.008 9.1.05.009 CVE-2025-14835
Travel Bucket List – Wish To Go クロスサイトスクリプティング <= 0.5.2 CVE-2025-14053
AH Shortcodes クロスサイトスクリプティング <= 1.0.2 CVE-2025-14109
Snillrik Restaurant Menu クロスサイトスクリプティング <= 2.3.0 2.3.1 CVE-2025-14112
Cool YT Player クロスサイトスクリプティング <= 1.0 CVE-2025-13849
My Album Gallery クロスサイトスクリプティング <= 1.0.4 CVE-2025-14453
My Album Gallery クロスサイトスクリプティング <= 1.0.4 CVE-2025-14796
AD Sliding FAQ クロスサイトスクリプティング <= 2.4 CVE-2025-14122
Responsive Pricing Table クロスサイトスクリプティング <= 5.1.12 5.1.13 CVE-2025-15058
Responsive Pricing Table クロスサイトスクリプティング <= 5.1.12 5.1.13 CVE-2025-13418
Niche Hero | Beautifully-designed blocks in seconds クロスサイトスクリプティング <= 1.0.5 CVE-2025-14145
QR Code for WooCommerce order emails, PDF invoices, packing slips クロスサイトスクリプティング <= 1.9.42 CVE-2025-14626
Viitor Button Shortcodes クロスサイトスクリプティング <= 3.0.0 CVE-2025-14113
STM Gallery 1.9 クロスサイトスクリプティング <= 0.9 CVE-2025-13848
Easy GitHub Gist Shortcodes クロスサイトスクリプティング <= 1.0 CVE-2025-14147
Testimonial Master クロスサイトスクリプティング <= 0.2.1 CVE-2025-14127
Awesome Hotel Booking Incorrect Authorization to Unauthenticated Arbitrary Booking Modification <= 1.0.3 1.0.4 CVE-2025-14352
Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder Missing Authorization to Authenticated (Subscriber+) Arbitrary Form Creation via AI Builder <= 6.1.7 6.1.8 CVE-2025-13722
Email Customizer for WooCommerce | Drag and Drop Email Templates Builder クロスサイトスクリプティング <= 2.6.7 CVE-2025-13974
Multi-column Tag Map クロスサイトスクリプティング <= 17.0.39 CVE-2025-14057
Simcast クロスサイトリクエストフォージェリ <= 1.0.0 CVE-2025-14077
Rankology SEO and Analytics Tool Incorrect Authorization to Authenticated (Editor+) Header & Footer Code Creation <= 2.0 2.5 CVE-2025-12958
FS Registration Password 権限昇格 <= 1.0.1 2.0.1 CVE-2025-15001
AS Password Field In Default Registration Form 権限昇格 <= 2.0.0 CVE-2025-14996
CedCommerce Integration for Good Market ローカルファイルインクルージョン <= 1.0.6 CVE-2025-68877
CookieHint WP ローカルファイルインクルージョン <= 1.0.0 CVE-2025-68870
Docket Cache – Object Cache Accelerator ローカルファイルインクルージョン <= 24.07.03 24.07.04 CVE-2025-68506
Terms descriptions Unauthenticated Information Exposure <= 3.4.9 CVE-2025-62139
Download Media Library Unauthenticated Sensitive Information Exposure <= 0.2.1 CVE-2025-62114
Varnish/Nginx Proxy Caching Unauthenticated Information Exposure <= 1.8.3 CVE-2025-62126
MAS Videos ローカルファイルインクルージョン <= 1.3.2 CVE-2025-62753
Responsive Posts Carousel WordPress Plugin ローカルファイルインクルージョン <= 15.1 CVE-2025-68996
Subscribe to Unlock Lite – Opt In Content Locker Plugin for WordPress ローカルファイルインクルージョン <= 1.3.0 1.3.1 CVE-2025-68563
Download Manager 権限昇格 <= 3.3.40 3.3.41 CVE-2025-15364
BuddyPress Xprofile Custom Field Types 任意ファイル削除 <= 1.2.8 1.3.0 CVE-2025-14997
WordPress & WooCommerce Scraper Plugin, Import Data from Any WebSite. サーバーサイドリクエストフォージェリ <= 1.0.7 CVE-2025-62088
CBX Bookmark & Favorite SQLインジェクション <= 2.0.4 2.0.5 CVE-2025-13652
Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin Unauthenticated Sensitive Information Exposure <= 1.6.9.5 1.6.9.6 CVE-2025-11723
Page Expire Popup/Redirection for WordPress SQLインジェクション <= 1.0 1.1 CVE-2025-14153
Xagio SEO – AI Powered SEO サーバーサイドリクエストフォージェリ <= 7.1.0.30 7.1.0.31 CVE-2025-14438
URL Image Importer クロスサイトスクリプティング <= 1.0.7 1.0.8 CVE-2025-14120
Popup builder with Gamification, Multi-Step Popups, Page-Level Targeting, and WooCommerce Triggers Missing Authorization to Authenticated (Subscriber+) Arbitrary Subscriber Data Deletion <= 2.2.0 2.2.1 CVE-2025-14441
Depicter — Popup & Slider Builder Missing Authorization to Unauthenticated Display Rule Updates <= 4.0.7 4.7.0 CVE-2025-11370
ilGhera Support System for WooCommerce Missing Authorization to Authenticated (Subscriber+) Arbitrary Ticket Deletion <= 1.2.6 1.2.7 CVE-2025-14034
Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker 情報開示 <= 10.3.1 10.3.2 CVE-2025-9637
Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker SQLインジェクション <= 10.3.1 10.3.2 CVE-2025-9318
Appointment Booking Calendar – WP Timetics Booking Plugin Missing Authorization to Unauthenticated Booking Details View And Modification <= 1.0.36 1.0.37 CVE-2025-5919
MediaPress クロスサイトスクリプティング <= 1.6.1 1.6.2 CVE-2025-14552
Table Field Add-on for ACF and SCF クロスサイトスクリプティング <= 1.3.30 1.3.31 CVE-2025-12067
MasterStudy LMS WordPress Plugin – for Online Courses and Education <= 3.7.6 3.7.7 CVE-2025-13766
LearnPress – WordPress LMS Plugin Missing Authentication to Unauthenticated Course Modification <= 4.3.2 4.3.2.1 CVE-2025-13964
Shortcodes and extra features for Phlox theme Unauthenticated Draft Posts Information Exposure <= 2.17.13 2.17.14 CVE-2025-13215
Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker Missing Authorization to Authenticated (Subscriber+) Quiz Results Deletion <= 10.3.1 10.3.2 CVE-2025-9294
TaxoPress: Tag, Category, and Taxonomy Manager – AI Autotagger Missing Authorization to Authenticated (Contributor+) Arbitrary Post Tag Modification <= 3.41.0 3.42.0 CVE-2025-14371
GamiPress – Gamification plugin to reward points, achievements, badges & ranks in WordPress Missing Authorization to Authenticated (Subscriber+) Information Exposure <= 7.6.1 7.6.2 CVE-2025-13812
Branda – White Label & Branding, Free Login Page Customizer 権限昇格 <= 3.4.24 3.4.29 CVE-2025-14998
WP Import – Ultimate CSV XML Importer for WordPress サーバーサイドリクエストフォージェリ <= 7.35 7.36 CVE-2025-14627
User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration Missing Authorization to Unauthenticated Arbitrary Attachment Deletion <= 4.2.4 4.2.5 CVE-2025-14047
All-in-one Sticky Floating Contact Form, Call, Click to Chat, and 50+ Social Icon Tabs – My Sticky Elements Missing Authorization to Authenticated (Subscriber+) Arbitrary Bulk Lead Deletion <= 2.3.3 2.3.4 CVE-2025-14428
TelSender – Сontact form 7, Events, Wpforms, ninja forms and woocommerce to telegram bot クロスサイトスクリプティング <= 1.14.14 1.14.15

テーマ

名称 脆弱性の種類 対象ver. パッチ済ver. 重要度 CVE ID
peakshops ローカルファイルインクルージョン < 1.5.9 1.5.9 CVE-2025-69322
prowess ローカルファイルインクルージョン <= 2.3 CVE-2026-24531
energia 任意ファイルアップロード <= 1.1.2 CVE-2025-50002
anona 任意ファイル削除 <= 8.0 CVE-2025-68901
hostmev2 任意ファイル削除 <= 7.0 CVE-2025-68907
theaisle ローカルファイルインクルージョン < 2.9.1 2.9.1 CVE-2025-67941
powerlift ローカルファイルインクルージョン < 3.2.1 3.2.1 CVE-2025-67940
north-wp ローカルファイルインクルージョン <= 5.7.5 CVE-2025-69100
biagiotti ローカルファイルインクルージョン < 3.5.2 3.5.2 CVE-2025-67938
north-wp Authenticated (Contributor+) PHP Object Injection <= 5.7.5 CVE-2025-69099
athens ローカルファイルインクルージョン <= 1.1.6 CVE-2025-49994
kalium Missing Authorization to Unauthenticated Mail Relay via kalium_vc_contact_form_request <= 3.29 3.30 CVE-2025-12895
anarkali ローカルファイルインクルージョン <= 1.0.9 CVE-2025-47474
videopro ローカルファイルインクルージョン <= 2.3.8.1 CVE-2025-58913
amuli ローカルファイルインクルージョン <= 2.3.0 CVE-2025-50003
depot ローカルファイルインクルージョン <= 1.16 CVE-2025-54003
mitech ローカルファイルインクルージョン <= 2.3.4 CVE-2025-22708
rozy ローカルファイルインクルージョン <= 1.2.25 CVE-2025-12549
aeroland ローカルファイルインクルージョン <= 1.6.6 CVE-2025-14429
oshin ローカルファイルインクルージョン <= 7.2.7 CVE-2025-14359
typify ローカルファイルインクルージョン <= 3.0.2 CVE-2025-22712
Felan Framework SQLインジェクション <= 1.1.3 CVE-2025-23993
lekker ローカルファイルインクルージョン <= 1.8 CVE-2025-69034
bookory ローカルファイルインクルージョン <= 2.2.7 2.2.8 CVE-2025-68530
fana ローカルファイルインクルージョン <= 1.1.35 1.1.36 CVE-2025-68540
zota ローカルファイルインクルージョン <= 1.3.14 1.3.15 CVE-2025-68537
nika ローカルファイルインクルージョン <= 1.2.14 1.2.15 CVE-2025-68546
diza ローカルファイルインクルージョン <= 1.3.15 1.3.16 CVE-2025-68544
phlox クロスサイトスクリプティング <= 2.17.7 2.17.11 CVE-2025-4776

対応方法

  • パッチが提供されたバージョンはアップデートしましょう。
  • 特に重要度が高のものは確実にアップデートしておきましょう。

カテゴリ:
タグ:

WordPress × 6つまで
お問い合わせ
お申し込み