WordPressプラグイン脆弱性情報(2026年5月25日)

WordPressサイトを運営されている皆さまへ、今週（2026年5月25日時点）に公開されたプラグインの脆弱性情報をお届けします。今週は合計66件のプラグインに脆弱性が報告されており、そのうち10件はアクティブインストール数5万件以上の広く利用されているプラグインです。

今週注目すべきは、ページビルダー・スライダー系プラグインへの深刻な脆弱性が複数報告されている点です。特に「Slider Revolution」では、認証済みユーザー（Subscriber権限以上）による任意ファイルアップロードを許す重大な脆弱性（CVE-2026-6692／CVSS 8.8 High）が公開されており、リモートコード実行（RCE）に直結する恐れがあります。また「WooCommerce PayPal Payments」でも、未認証で他人の注文情報を取得・操作できるアクセス制御の不備（CVE-2026-9284／CVSS High）が確認されており、ECサイト運営者は最優先での対応が必要です。

【特別情報】WordPress 7.0 が正式リリース

2026年5月20日、WordPress 7.0 が正式にリリースされました。ブロックエディタ・サイトエディタの大幅改善、管理画面UIの刷新、AIプラグイン連携用の「WP AI Client」API搭載などが目玉です。一方でメジャーアップデート直後はプラグイン側の互換性問題や、新APIを狙った脆弱性報告が増える傾向があります。本番環境での7.0適用は、必ずステージング環境での動作確認とフルバックアップ取得の後に行うことを強く推奨します。

「脆弱性があるのはわかったけど、アップデートして不具合が出たらどうしよう」「社内にWordPressに詳しい人がいない」そんなお悩みはありませんか？ジオコードのWordPressセキュリティプランなら、プラグイン・テーマ・WordPress本体のアップデートをすべてサポートします。安心してお任せいただけます。

今週のサマリー

脆弱性検出プラグイン総数	66件
要緊急確認（5万インストール以上）	10件
その他の脆弱性検出プラグイン	56件

要緊急確認：アクティブインストール数5万件以上のプラグイン

以下のプラグインは、アクティブインストール数が5万件以上と利用者が非常に多く、脆弱性の影響範囲が広いため、早急なアップデート確認を推奨します。お使いのサイトにこれらのプラグインが導入されている場合は、速やかに最新バージョンへ更新してください。

「アップデートしたいけれど、社内にWordPressの有識者がいない」「更新後の動作確認まで手が回らない」とお悩みの方も多いのではないでしょうか。ジオコードのセキュリティプランでは、WordPress本体はもちろん、プラグインやテーマのアップデートもすべて対応可能です。事前のバックアップから更新後の動作確認まで一括でサポートいたします。

• WooCommerce PayPal Payments
• FluentCRM – Email Newsletter, Automation, Email Marketing, Email Campaigns, Optins, Leads, and CRM Solution
• The Plus Addons for Elementor – Addons for Elementor, Page Templates, Widgets, Mega Menu, WooCommerce
• Avada (Fusion) Builder
• Slider Revolution
• Photo Gallery, Sliders, Proofing and Themes – NextGEN Gallery
• All in One SEO – Powerful SEO Plugin to Boost SEO Rankings & Increase Traffic
• Creative Mail – Easier WordPress & WooCommerce Email Marketing
• Kirki – Freeform Page Builder, Website Builder & Customizer
• The Ultimate Video Player For WordPress – by Presto Player

今週の要注意プラグイン

① Slider Revolution

Slider Revolutionは、世界500万件以上のサイトで利用されている代表的なスライダー作成プラグインです。テーマにバンドルされて導入されているケースも多く、ユーザーが意図せず利用していることも少なくありません。今回の脆弱性は、CVSSスコア8.8の「High」評価で、リモートコード実行（RCE）に直結する深刻な内容です。

脆弱性の種類	任意ファイルアップロード（Arbitrary File Upload／CWE-434）
CVE番号	CVE-2026-6692
影響を受けるバージョン	7.0.0 〜 7.0.10
修正バージョン	7.0.11（7.0.10で部分修正、7.0.11で完全修正）
深刻度（CVSS）	8.8（High）
認証の要否	認証必要（Subscriber権限以上で攻撃可能）
公開日	2026年5月6日
参照元	Wordfence／Patchstack 脆弱性データベース

脆弱性の概要

Slider Revolutionの「_get_media_url」関数および「_check_file_path」関数において、ファイルタイプの検証が不十分なため、Subscriber権限以上を持つ攻撃者が実行可能なファイル（PHPなど）をアップロードできる脆弱性です。会員制サイトや、誰でも登録できるサイトでは特にリスクが高く、攻撃者がアカウントを作成してログインさえできれば、Webシェルなどをアップロードしてサーバーを乗っ取れる恐れがあります。

想定されるリスク

• リモートコード実行（RCE） — PHP等の実行可能ファイルをアップロードされ、サーバー上で任意コードが実行される可能性があります。

• サイト改ざん・乗っ取り — 管理者権限の奪取、コンテンツ改ざん、フィッシングサイトへの誘導など、サイト全体が攻撃者の支配下に置かれる恐れがあります。

• バックドア設置による恒久的侵害 — 一度侵害された場合、復旧後も再侵入経路が残り続けるケースが多く、根本対応にはサーバー全体の精査が必要です。

推奨対応

1. プラグインを速やかにバージョン 7.0.11 以上にアップデートしてください。

2. テーマにバンドルされているSlider Revolutionは管理画面の「プラグイン」一覧に表示されないことがあります。テーマ更新情報を確認するか、テーマ提供元へ問い合わせてください。

3. アクセスログを確認し、不審なファイルアップロード操作の痕跡がないか調査してください。特に「/wp-content/uploads/」配下に身に覚えのないPHPファイルがないか確認することを推奨します。

4. 会員登録を許可しているサイトでは、攻撃者が一般会員として登録しただけで攻撃可能なため、修正完了までは新規登録を一時停止することも検討してください。

② WooCommerce PayPal Payments

WooCommerce PayPal Paymentsは、WooCommerce公式のPayPal連携プラグインで、世界中の多くのECサイトで決済処理に利用されています。決済プラグインに脆弱性があるということは、顧客の注文情報・購入履歴・氏名や配送先といった個人情報が直接攻撃対象になるということを意味します。

脆弱性の種類	アクセス制御の不備（Missing Authorization／CWE-862）
CVE番号	CVE-2026-9284
影響を受けるバージョン	4.0.1 以前のすべてのバージョン
修正バージョン	最新バージョン（ベンダーの修正対応を確認のうえ更新）
深刻度	High（未認証で悪用可能）
認証の要否	認証不要（未認証ユーザーが攻撃可能）
公開日	2026年5月（脆弱性データベースに登録）
参照元	Wordfence／OffSeq 脆弱性データベース

脆弱性の概要

`ppc-create-order` および `ppc-get-order` のWC-AJAXエンドポイントに、適切な権限チェックが実装されていないことに起因する脆弱性です。`ppc-create-order` では任意のWooCommerce注文IDに対してPayPal注文を紐づけられ、`ppc-get-order` では未認証のままPayPal注文の詳細情報（支払者情報・配送先情報を含む）を取得できてしまいます。

想定されるリスク

• 顧客情報の漏洩 — 他人の注文に紐づくPayPalの注文詳細（氏名、メールアドレス、配送先住所など）が外部から取得可能になります。

• 決済プロセスの不正操作 — 他人の注文に対してPayPal注文を作成でき、決済フローを混乱させたり、決済整合性を破壊することが可能になります。

• 信頼性の毀損と法的責任 — 個人情報保護法に抵触する漏洩事故となれば、ECサイトとしての信用が毀損され、損害賠償・行政指導につながる可能性があります。

推奨対応

1. プラグインの最新バージョンへ速やかにアップデートしてください。WooCommerce公式のプラグイン更新通知を確認し、修正版が提供されているか確認します。

2. 修正版が未提供の場合、暫定対応として、該当するWC-AJAXエンドポイント（`ppc-create-order` / `ppc-get-order`）へのアクセスをWAFやサーバー設定で制限することを検討してください。

3. アクセスログを確認し、上記エンドポイントに対する不審なリクエストの形跡がないか調査してください。

4. 万一情報漏洩が確認された場合は、速やかに該当顧客への通知と監督官庁への報告を行ってください。

その他の脆弱性検出プラグイン一覧

以下の56件のプラグインについても、今週新たに脆弱性が報告されています。ご利用中のプラグインがないかご確認ください。

• Wishlist Member
• AudioIgniter Music Player
• Widget Context
• Vedrixa Forms – User Registration Form, Signup Form & Drag & Drop Form Builder
• Slider by Soliloquy – Responsive Image Slider for WordPress
• MotoPress Hotel Booking
• Ditty – Responsive News Tickers, Sliders, and Lists
• Alfie – Feed Plugin
• WP Blockade – Visual Page Builder
• Easy Elements for Elementor – Addons & Website Templates
• Draft List
• CBX 5 Star Rating & Review
• KIA Subtitle
• Location Weather – WordPress Weather Forecast, AQI, Temperature and Weather Widget
• WP ERP Pro
• GSheet For Woo Importer
• BookingPress Appointment Booking Pro
• WPB Floating Menu or Categories – Sticky Floating Side Menu & Categories with Icons
• Broadstreet
• Divi Form Builder
• AcyMailing – An Ultimate Newsletter Plugin and Marketing Automation Solution for WordPress
• Anomify AI – Anomaly Detection and Alerting
• AI Chatbot & Workflow Automation by AIWU
• Advanced Database Cleaner – Premium
• Cost of Goods by PixelYourSite
• Boost
• Xpro Addons — 140+ Widgets for Elementor
• TypeSquare Webfonts for ConoHa
• Read More & Accordion
• Logo Manager For Enamad
• Correct Prices
• SponsorMe
• LJ comments import: reloaded
• Infility Global
• Remove Yellow BGBOX
• JaviBola Custom Theme Test
• BLOGCHAT Chat System
• Amazon Scraper
• Games Catalog
• VatanSMS WP SMS
• Account Switcher
• Bigfishgames Syndicate
• Bottom Bar
• Child Height Predictor by Ostheimer
• General Options
• Sticky
• Word 2 Cash
• Nexa Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE
• Sentence To SEO (keywords, description and tags)
• ProSolution WP Client
• Faces of Users
• Oliver POS – WooCommerce POS for iPhone, iPad & Android
• 診断ジェネレータ作成プラグイン
• Piotnet Addons For Elementor Pro
• Piotnet Forms
• Contest Gallery – Upload & Vote Photos, Media, Sell with PayPal & Stripe

運用担当者様へのお願い

定期的な対策チェックリスト

✓ WordPress本体・プラグイン・テーマを常に最新バージョンに更新する

✓ 使用していないプラグイン・テーマは削除する

✓ 管理画面へのアクセス制限（IP制限、二要素認証）を設定する

✓ 定期的にバックアップを取得し、復元手順を確認しておく

✓ WAF（Web Application Firewall）の導入を検討する

✓ 会員登録を許可しているサイトでは、登録ユーザー権限（Subscriber等）からの攻撃も想定する

脆弱性情報は日々更新されます。プラグインのアップデート通知を確認し、速やかに対応いただくことが、サイトを安全に保つための最善策です。特に今週は、Slider RevolutionのRCE脆弱性やWooCommerce PayPal Paymentsのアクセス制御不備など、サイトの根幹を揺るがす脆弱性が複数報告されています。「サイトが普通に動いているから大丈夫」という認識は、今や通用しません。

ECサイトや会員サイトでフォーム・決済プラグインに脆弱性が放置されていた場合、顧客の個人情報・購入履歴・決済情報が一瞬で攻撃者の手に渡ります。フォームや決済画面は「ユーザーが企業を信頼して情報を預ける場所」です。一度でも漏洩事故を起こせば、その信用は二度と元には戻りません。「フォームを設置している＝ユーザーの信頼を預かっている」という意識を持ち、プラグイン管理を日常のセキュリティ業務として位置づけていただくことを強くお勧めします。

また、2026年5月20日にリリースされたWordPress 7.0への移行を検討されている方も多いと思います。メジャーアップデート直後は、プラグインの互換性問題に加え、新APIを狙った脆弱性報告が増える時期でもあります。本番反映の前に必ずステージング環境で動作を確認し、フルバックアップを取得したうえで慎重に進めてください。

とはいえ、毎週これだけの脆弱性情報を追いかけ、一つひとつのプラグインを安全にアップデートしていくのは大変な作業です。「自社で対応したいけれど、WordPressに詳しいスタッフがいない」「本業が忙しくてセキュリティまで手が回らない」そんな課題を抱えている企業様は、ぜひジオコードのWordPressセキュリティプランをご検討ください。WordPress本体・プラグイン・テーマのアップデート対応から、脆弱性の監視、改ざん検知まで、WordPressのセキュリティに関わることなら何でもサポートいたします。