WordPressプラグイン脆弱性情報(2026年4月6日)
2026年4月7日
東証スタンダード上場企業のジオコードが運営!
SEOがまるっと解るWebマガジン
更新日:2026年 04月 27日
WordPressプラグイン脆弱性情報(2026年4月27日)
【監修】株式会社ジオコード SEO事業 責任者
栗原 勇一
WordPressサイトを運営されている皆さまへ、今週(2026年4月21日〜4月27日)に公開されたプラグインの脆弱性情報をお届けします。今週は合計68件のプラグインに脆弱性が報告されており、そのうち9件はアクティブインストール数5万件以上の広く利用されているプラグインです。
今週の全体的な傾向として、クロスサイトスクリプティング(XSS)とアクセス制御の不備に関する脆弱性が多数を占めています。特に注目すべきは、Elementor系アドオンプラグインに複数の脆弱性が集中して報告されている点です。ページビルダー系のプラグインはサイトの表示に直結するため、攻撃者にとって格好のターゲットとなっています。
また、今週の要注意プラグインとして取り上げる「MW WP Form」では、先週(CVE-2026-4347)に引き続き、今週も新たな「任意ファイルの移動・読み取り」脆弱性(CVE-2026-5436)が発見されています。2週連続での重大脆弱性報告となっており、20万件以上のアクティブインストール数を持つこのプラグインをご利用の方は最優先でアップデートをお願いいたします。
目次
今週のサマリー
| 脆弱性検出プラグイン総数 | 68件 |
| 要緊急確認(5万インストール以上) | 9件 |
| その他の脆弱性検出プラグイン | 59件 |
要緊急確認:アクティブインストール数5万件以上のプラグイン
以下のプラグインは、アクティブインストール数が5万件以上と利用者が非常に多く、脆弱性の影響範囲が広いため、早急なアップデート確認を推奨します。お使いのサイトにこれらのプラグインが導入されている場合は、速やかに最新バージョンへ更新してください。
1. HubSpot All-In-One Marketing – Forms, Popups, Live Chat
2. Royal Addons for Elementor – Addons and Templates Kit for Elementor
3. ExactMetrics – Google Analytics Dashboard for WordPress (Website Stats Plugin)
4. WP Store Locator
5. Breeze Cache
6. HTTP Headers
7. Email Encoder – Protect Email Addresses and Phone Numbers
8. wpDataTables – WordPress Data Table, Dynamic Tables & Table Charts Plugin
9. Everest Forms – Contact Form, Payment Form, Quiz, Survey & Custom Form Builder
今週の要注意プラグイン
① wpDataTables(CVE-2026-5721)
wpDataTablesは、WordPressに高機能なデータテーブルやチャートを簡単に実装できるプラグインです。CSVやExcel、JSONなど多様なデータソースからテーブルを自動生成でき、70,000件以上のアクティブインストール数を誇ります。データの可視化や表形式レポートを必要とする企業サイト・ECサイト・分析ダッシュボードなどで幅広く採用されています。
| 脆弱性の種類 | 未認証ストアドクロスサイトスクリプティング(Stored XSS / CWE-79) |
| CVE番号 | CVE-2026-5721 |
| 影響を受けるバージョン | 6.5.0.4 以前のすべてのバージョン |
| 修正バージョン | 6.5.0.5 |
| 深刻度(CVSS) | 4.7(Medium) |
| 認証の要否 | 認証不要(未認証ユーザーが攻撃可能) |
| 公開日 | 2026年4月20日 |
| 参照元 | Wordfence 脆弱性データベース(CVE-2026-5721) |
脆弱性の概要
この脆弱性は、prepareCellOutput()メソッドにおけるLinkWDTColumn・ImageWDTColumn・EmailWDTColumnクラスの入力値検証とエスケープ処理の不備に起因します。未認証の攻撃者が管理者を騙して攻撃者の管理するソースからデータをインポートさせることで、悪意あるスクリプトをデータベースに永続的に保存させることができます。その後、管理者や権限を持つユーザーが該当ページを閲覧した際に、保存されたスクリプトが自動的に実行されます。
特に危険なのは「未認証で仕掛けられる」という点です。通常の多くのXSS脆弱性は一定の権限を必要としますが、本脆弱性は認証なしでペイロードを注入できるため、攻撃の敷居が低く、自動化された大規模攻撃の標的になりやすい傾向があります。
想定されるリスク
- セッションハイジャック — 管理者のブラウザ上でスクリプトが実行されることで、管理者のセッションクッキーが窃取され、サイト全体の制御権が奪われる恐れがあります。
- 権限昇格 — 管理者コンテキストでの不正な操作が可能となり、新しい管理者アカウントの作成やプラグイン設定の改ざんに悪用されるリスクがあります。
- バックドアの設置 — 攻撃者がサイト内に永続的なバックドアを埋め込み、継続的なアクセスを確保する手段として利用される可能性があります。
- 大規模自動攻撃のリスク — 未認証で悪用可能なため、自動スキャンツールによる無差別攻撃の標的になりやすく、70,000件超のインストール全体への影響が懸念されます。
推奨対応
- プラグインを速やかにバージョン 6.5.0.5 以上にアップデートしてください。
- テーブルへのデータインポート機能を使用している場合、インポート元が信頼できるソースであるかを必ず確認してください。
- 管理者アカウントには強固なパスワードと二要素認証を設定し、セッション管理を強化してください。
- WAF(Webアプリケーションファイアウォール)を導入し、XSSペイロードを含むリクエストをブロックする設定を検討してください。
② HubSpot All-In-One Marketing – Forms, Popups, Live Chat
HubSpot All-In-One Marketingは、CRM・メールマーケティング・ライブチャット・フォーム・分析機能をWordPressから一元管理できる統合マーケティングプラグインです。世界中の企業サイト・ECサイト・コーポレートサイトで広く導入されており、20万件以上のアクティブインストール数を誇ります。営業・マーケティング担当者を中心に、リード獲得から顧客管理までをこのプラグイン単体でカバーできる点が高く評価されています。
今週の脆弱性チェックにて検出されました。過去には同プラグインに対してStored XSSやSSRF(サーバーサイドリクエストフォージェリ)等の脆弱性が複数報告されており、マーケティング・フォーム機能を通じた攻撃ベクターとして継続的に注目されているプラグインです。
| プラグイン名 | HubSpot All-In-One Marketing – Forms, Popups, Live Chat |
| アクティブインストール数 | 20万件以上 |
| 状況 | 今週の脆弱性チェックツールにて検出(詳細CVE調査中) |
| 過去の脆弱性傾向 | Stored XSS・SSRFなどを複数回報告済み |
| 想定リスク | フォーム・ポップアップ経由のスクリプト注入、CRMデータの漏洩等 |
| 推奨対応 | 最新バージョンへのアップデートを実施してください |
| 参照元 | Wordfence 脆弱性データベース |
想定されるリスク
HubSpotプラグインはフォーム送信・ポップアップ表示・ライブチャットという「ユーザーが直接操作する機能」を多数持つ点が特徴です。こうした入力受付機能に脆弱性があると、以下のリスクが生じます。
- リード・顧客情報の漏洩 — CRMと連携して収集した顧客のメールアドレス・問い合わせ内容・行動データが外部に漏洩するリスクがあります。マーケティングデータは非常に高い商業的価値を持つため、標的型攻撃の対象になりやすいです。
- フォームを通じたスクリプト注入 — 問い合わせフォームやポップアップフォームを経由して悪意あるスクリプトが注入された場合、フォームを閲覧・処理する管理者のブラウザ上でスクリプトが実行されるリスクがあります。
- SSRF(サーバーサイドリクエストフォージェリ)への発展 — 過去の同プラグインの事例と同様に、プロキシ機能等を通じてサーバー内部へ不正リクエストが送信され、内部サービスへのアクセスや情報収集に悪用されるリスクがあります。
推奨対応
- プラグインを速やかに最新バージョンへアップデートしてください。
- フォームへの入力値のサニタイズ・バリデーション設定を確認してください。
- ポップアップ・フォームを通じて収集しているデータの種類とアクセス権限を見直してください。
- HubSpotとのAPI連携設定(APIキーのスコープと権限)を定期的に監査してください。
その他の脆弱性検出プラグイン一覧
以下のプラグインについても、今週新たに脆弱性が報告されています。ご利用中のプラグインがないかご確認ください。
1. Highland Software Custom Role Manager
2. ITERAS
3. Liaison Site Prober
4. Taqnix
5. WP Books Gallery – Build Stunning Book Showcases & Libraries in Minutes
6. Drag and Drop File Upload for Contact Form 7
7. Booking Calendar Contact Form
8. BetterDocs – Knowledge Base Docs & FAQ Solution for Elementor & Block Editor
9. MaxiBlocks Builder | 17,000+ Design Assets, Patterns, Icons & Starter Sites
10. Gutentor – Gutenberg Blocks – Page Builder for Gutenberg Editor
11. Social Rocket – Social Sharing Plugin
12. Gutentools
13. Gallagher Website Design
14. Emailchef
15. Short Comment Filter
16. Private WP suite
17. Real Estate Pro
18. Table Manager
19. Create DB Tables
20. CalJ Shabbat Times
21. TP Restore Categories And Taxonomies
22. Inquiry cart
23. WP Responsive Popup + Optin
24. CI HUB Connector
25. TextP2P Texting Widget
26. Kcaptcha
27. Call To Action Plugin
28. Twittee Text Tweet
29. Bread & Butter: AI-Powered Lead Intelligence
30. Switch CTA Box
31. Easy Social Photos Gallery – MIF
32. Slider Bootstrap Carousel
33. ER Swiffy Insert
34. Quran Live Multilanguage
35. mCatFilter
36. DX Unanswered Comments
37. Sentence To SEO (keywords, description and tags)
38. Ni WooCommerce Order Export
39. WPMK Block
40. Breaking News WP
41. Posts map
42. Zypento Blocks
43. Buzz Comments
44. Fast & Fancy Filter – 3F
45. Text Snippets
46. Google PageRank Display
47. SlideShowPro SC
48. Simple Random Posts Shortcode
49. Sendmachine for WordPress
50. Website LLMs.txt
51. Responsive Blocks – Page Builder for Blocks & Patterns
52. Plugin: CMS für Motorrad Werkstätten
53. Image Source Control Lite – Show Image Credits and Captions
54. wpForo Forum
運用担当者様へのお願い
定期的な対策チェックリスト
- WordPress本体・プラグイン・テーマを常に最新バージョンに更新する
- 使用していないプラグイン・テーマは削除する
- 管理画面へのアクセス制限(IP制限・二要素認証)を設定する
- 定期的にバックアップを取得し、復元手順を確認しておく
- WAF(Web Application Firewall)の導入を検討する
- 脆弱性情報の通知サービス(Wordfence等)を活用し、タイムリーな情報収集を行う
脆弱性情報は日々更新されます。プラグインのアップデート通知を確認し、速やかに対応いただくことが、サイトを安全に保つための最善策です。今週はwpDataTablesのように「未認証で仕掛けられる」脆弱性が報告されています。認証なしで悪用できる脆弱性は自動化攻撃の格好の標的となるため、特に優先度を上げて対応してください。
とりわけ、お問い合わせフォームや予約フォームは、サイト訪問者が個人情報を入力する場所です。氏名・メールアドレス・電話番号・相談内容……訪問者はサイト運営者を「信頼して」その情報を預けています。フォームプラグインに脆弱性が放置されていた場合、その信頼は一瞬で崩れます。
今週のHubSpotの事例が示すように、マーケティングツールやフォームプラグインには顧客の個人情報・行動データが集約されます。これらのプラグインに脆弱性が放置されていた場合、その信頼は一瞬で崩れます。「フォームを設置している=ユーザーの情報を預かっている」という意識を持ち、プラグインの管理を日常的なセキュリティ業務の一部として捉えていただくことを強くお勧めします。
セキュリティ対策は、何か起きてからでは遅い場合がほとんどです。定期的なアップデートと監視の習慣こそが、訪問者からの信頼を守り続ける唯一の方法です。
自分のWordPressサイトは大丈夫?と思った方はお気軽にご連絡ください!
この記事を書いた人
GCアナリストチーム
