Office workplace with laptop and potted plant on white wood table for background, Work from home concept

 

⚠️ WordPressをご利用のお客様へ:セキュリティに関する重要なお知らせ

こんにちは、アートフレア株式会社です。

WordPressのプラグインやテーマに、複数のセキュリティ上の脆弱性が発見されました。ウェブサイトを安全に保つため、以下の情報を確認し、早急な対応を推奨いたします。

脆弱性が報告されたプラグインとテーマ

2025年8月22日~28日時点で、以下のプラグインやテーマに脆弱性が確認されています。現在ご利用中のバージョンをご確認ください。

  • WP Statistics (バージョン 14.15まで): 購読者以上の権限を持つユーザーが、不正な操作を行う可能性があります。

  • Blocksy (テーマ、バージョン 2.1.6まで): ショップマネージャー以上の権限を持つユーザーが、ウェブサイトに悪意のあるスクリプトを挿入できる可能性があります。

  • AI Engine (バージョン 2.9.4まで): 購読者以上の権限を持つユーザーが、ウェブサーバー上のファイルを外部に流出させる可能性があります。

  • Paid Membership Plugin (バージョン 4.16.4まで): 権限のないユーザーでも、悪意のあるプログラムを実行できる可能性があります。特に危険度が高い脆弱性です。

  • FiboSearch, The Events Calendar, CAPTCHA 4WP, Menu Image, WP Activity Log, Ocean Extra, OceanWP, WP Shortcodes Plugin: Cross-Site Request Forgery (CSRF) という攻撃により、意図しない操作を強制される危険性があります。

  • GiveWP (バージョン 4.5.0まで): 特定の権限を持つユーザーが、寄付のステータスを不正に変更できる可能性があります。

  • Advanced Custom Fields (ACF®)( 6.4.2までの全てのバージョン ):管理者以上の権限を持つユーザーで認証済の場合に、悪意のあるHTMLを注入することが可能となる。
  • Advanced Custom Fields (ACF®)(  3.5.1までの全てのバージョン ): export.phpスクリプトを介したリモートファイルインクルードおよびリモートコード実行が可能となる。
    この攻撃は、PHPオプション allow_url_include がOnに設定されている場合にのみ有効。 (デフォルトはOff)
  • All-in-One WP Migration and Backup( 7.97までの全てのバージョン ): 管理者以上の権限を持つユーザーで認証済の場合に、ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される、任意のウェブスクリプトをページに挿入できる。
    これはマルチサイト環境、および、unfilterd_htmlが無効化されている環境でのみ発生する。 
  • GiveWP( 4.5.0までの全てのバージョン): GiveWP Worker以上の権限を持つユーザーで認証済みの場合に、寄付のステータスを更新することが可能となる。この機能はユーザーインターフェースには存在しない。 
  • Beaver Builder( 2.9.2.1までの全てのバージョン ): 認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするといったアクションを実行させることで、実行される任意のウェブスクリプトをページに挿入できる。 
  • OceanWP( 4.0.9から4.1.1までの全てのバージョン ): 認証していない攻撃者が、サイト管理者を騙してリンクをクリックするといったアクションを実行させることで、偽造されたリクエストを通じてOcean Extraプラグインをインストールすることが可能となる。 
  • WP Crontrol( 1.17.0から1.19.1までの全てのバージョン ): 管理者以上の権限を持つユーザーで認証済の場合に、Webアプリケーションから発信する任意の場所へのWebリクエストを実行できるようになり、内部サービスからの情報の照会や変更に悪用できる。 

なぜ対応が必要?

今回の脆弱性には、権限のない人でも攻撃できる「危険度が高いもの」が含まれています。また、一部はサイトの重要なファイルを盗み見られたり、勝手にウェブサイトに悪意のあるプログラムを埋め込まれたりするリスクがあります。

ご相談窓口のご案内

ご自身のWordPressサイトが影響を受けるか確認したい、またはアップデート作業に不安がある場合は、お気軽にご相談ください。弊社サポート担当が対応いたします。

サポート専用ダイヤル: 050-5794-4348

【お願い】

安全のため、プラグインやテーマは常に最新の状態にアップデートすることを強く推奨します。