【監修】株式会社ジオコード SEO事業 責任者
栗原 勇一
WordPressサイトを運営されている皆さまへ、先週(2026年7月6日まで)に公開されたプラグインの脆弱性情報をお届けします。今週は合計83件のプラグインに脆弱性が報告されており、そのうち24件はアクティブインストール数5万件以上の広く利用されているプラグインです。
今週の全体的な傾向として、フォームビルダー系(Ninja Forms、WPForms、JetFormBuilder、NEX-Formsなど)、LMS(学習管理システム)系(LearnPress、Tutor LMS、Academy LMSなど)、そして予約・ブッキング系(LatePoint、BookingPressなど)のプラグインに脆弱性が集中しています。いずれも問い合わせ・会員登録・決済といったサイトの中核機能を担うプラグインであり、攻撃者にとって格好のターゲットとなっています。なお、すでに悪用が確認されているNinja Forms – File Uploadsの未認証任意ファイルアップロード脆弱性(CVE-2026-0740、CVSS 9.8)も引き続きリストに含まれています。未更新の場合は最優先で対応してください。
今週の要注意プラグインとして取り上げる1本目は「Ultimate Member」です。投稿者(Contributor)権限の攻撃者が、管理者を含む全ユーザーのパスワードリセットURLを窃取し、アカウントを乗っ取れる深刻な脆弱性(CVSS 8.8)が公開されました。会員制サイトやコミュニティサイトで広く使われているプラグインのため、心当たりのある方はただちにバージョンをご確認ください。
2本目は予約管理プラグイン「LatePoint」です。エージェント権限のユーザーが複数の欠陥を組み合わせることで管理者パスワードを上書きし、サイト全体を掌握できる権限昇格の脆弱性(CVE-2026-8176、CVSS 7.5)が報告されています。外部スタッフにエージェント権限を付与している運用では特にリスクが高いため、詳細を後述します。
今週のサマリー
- 脆弱性検出プラグイン総数: 83件
- 要緊急確認(5万インストール以上): 24件
- その他の脆弱性検出プラグイン: 59件
要緊急確認:アクティブインストール数5万件以上のプラグイン
以下のプラグインは、アクティブインストール数が5万件以上と利用者が非常に多く、脆弱性の影響範囲が広いため、早急なアップデート確認を推奨します。お使いのサイトにこれらのプラグインが導入されている場合は、速やかに最新バージョンへ更新してください。
「アップデートしたいけれど、社内にWordPressの有識者がいない」「更新後の動作確認まで手が回らない」とお悩みの方も多いのではないでしょうか。ジオコードのセキュリティプランでは、WordPress本体はもちろん、プラグインやテーマのアップデートもすべて対応可能です。事前のバックアップから更新後の動作確認まで一括でサポートいたします。
- RTMKit
- LatePoint – Calendar Booking Plugin for Appointments and Events
- Ad Inserter – Ad Manager & AdSense Ads
- Comments – wpDiscuz
- Ninja Forms – File Uploads
- Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin
- TinyPNG – JPEG, PNG & WebP image compression
- GenerateBlocks
- Perfmatters
- Database for Contact Form 7, WPforms, Elementor forms
- Kirki – Freeform Page Builder, Website Builder & Customizer
- JetFormBuilder — Dynamic Blocks Form Builder
- Image Optimizer – Optimize Images and Convert to WebP or AVIF
- Email Subscribers & Newsletters – Email Marketing, Post Notifications & Newsletter Plugin for WordPress
- GiveWP – Donation Plugin and Fundraising Platform
- Blocksy Companion
- Slim SEO – A Fast & Automated SEO Plugin For WordPress
- Qi Blocks
- LearnPress – WordPress LMS Plugin for Create and Sell Online Courses
- Download Manager
- Ninja Forms – The Contact Form Builder That Grows With You
- WPForms – AI Form Builder for WordPress – Contact Forms, Payment Forms, Survey Form, Quiz & More
- Tutor LMS – eLearning and online course solution
- Kadence Blocks — Page Builder Toolkit for Gutenberg Editor
今週の要注意プラグイン(1)
Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin
| 脆弱性の種類 | アカウント乗っ取り(パスワードリセットリンクの漏えい) |
| CVE番号 | 公表準備中(Wordfence脆弱性データベースに掲載済み) |
| 影響を受けるバージョン | 2.11.4 以前のすべてのバージョン |
| 修正バージョン | 2.12.0 |
| 深刻度(CVSS) | 8.8(High) |
| 認証の要否 | 要認証(投稿者権限以上のユーザーが攻撃可能) |
| 公開日 | 2026年6月24日 |
| 参照元 | Wordfence 脆弱性データベース / Search Engine Journal |
脆弱性の概要
Ultimate Memberは、会員登録・ログイン・プロフィール・メンバーディレクトリなどの機能を提供する人気の会員制サイト構築プラグインで、アクティブインストール数は20万件にのぼります。今回公開された脆弱性は、単一の欠陥ではなく3つのロジック上の欠陥を組み合わせることで成立します。
具体的には、(1)任意の投稿を正規のメンバーディレクトリとして扱わせられる検証不備、(2)保護されたメタデータフィールドへの制限を回避できる欠陥、(3)ユーザーカード生成時にフィールド名の検証が行われない欠陥、の3点です。これらを連鎖させることで、投稿者権限以上の攻撃者が本来公開されるべきでない内部フィールド、すなわちパスワードリセットURLをレスポンスに含めて取得できてしまいます。管理者を含む全ユーザーのリセットURLが漏えいの対象となります。
想定されるリスク
- 管理者アカウントの乗っ取り — 窃取したリセットURLで管理者パスワードを変更され、サイト全体を掌握される恐れがあります。
- 低権限アカウントの踏み台化 — 過去に発行した外部ライターや委託先の投稿者アカウントが放置されている場合、そこが侵入口となります。
- 会員情報の漏えい — 管理画面へ侵入されると、会員制サイトが保有する個人情報の流出につながる可能性があります。
推奨対応
- プラグインを速やかにバージョン 2.12.0 以上にアップデートしてください。修正版ではメンバーディレクトリの扱いと取得可能なユーザーデータフィールドの検証が強化されています。
- 投稿者権限以上のユーザーアカウントを棚卸しし、使われていないアカウントは無効化・削除してください。
- 身に覚えのないパスワードリセットや管理者ログインの履歴がないか、ログを確認してください。
今週の要注意プラグイン(2)
LatePoint – Calendar Booking Plugin for Appointments and Events
| 脆弱性の種類 | 権限昇格(IDORとパスワードリセットフローの組み合わせ) |
| CVE番号 | CVE-2026-8176 |
| 影響を受けるバージョン | 5.5.1 以前のすべてのバージョン |
| 修正バージョン | 5.5.1より後の最新バージョン |
| 深刻度(CVSS) | 7.5(High) |
| 認証の要否 | 要認証(エージェント権限以上のユーザーが攻撃可能) |
| 公開日 | 2026年6月16日 |
| 参照元 | Wordfence 脆弱性データベース |
脆弱性の概要
LatePointは、サロンやクリニックなどの予約受付に広く使われている予約カレンダープラグインです。今回の脆弱性は、注文処理を担うOsOrdersController::create_or_update関数のIDOR(安全でない直接オブジェクト参照)と、未認証で利用できるカスタマーキャビネットのパスワードリセット機能など、3つの独立した欠陥を連鎖させるものです。
この連鎖により、エージェント権限(受付スタッフなどに付与される低権限ロール)のユーザーが、管理者専用のAPIを一切呼び出すことなく管理者のパスワードを上書きし、管理者権限を奪取できます。LatePointでは2026年に入ってから、エージェント権限を起点とする同種の権限昇格(CVE-2026-1566など)が繰り返し報告されており、外部スタッフや委託先にエージェント権限を付与している運用では継続的な注意が必要です。
想定されるリスク
- サイト全体の乗っ取り — 管理者パスワードを書き換えられ、プラグインの追加やコンテンツ改ざんなど、あらゆる操作が可能になります。
- 予約者情報の漏えい — 管理画面経由で、氏名・連絡先・予約履歴などの顧客情報にアクセスされる恐れがあります。
- 内部関係者による悪用 — 退職したスタッフのエージェントアカウントが残っている場合、そこから攻撃が成立します。
推奨対応
- プラグインを速やかに最新バージョンへアップデートしてください(5.5.1以前はすべて影響を受けます)。
- エージェント権限を付与しているアカウントを棚卸しし、不要なアカウントは削除してください。
- 管理者アカウントのパスワード変更履歴や、身に覚えのない設定変更がないか確認してください。
その他の脆弱性検出プラグイン一覧
以下の59件のプラグインについても、今週新たに脆弱性が報告されています。ご利用中のプラグインがないかご確認ください。
- Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker
- CM Business Directory – Optimise and showcase local business
- WP Import Export Lite
- JSON API User
- Printcart Web to Print Product Designer for WooCommerce
- AR for WooCommerce
- NEX-Forms – Ultimate Forms Plugin for WordPress
- Cookie Banner for GDPR / CCPA – WPLP Cookie Consent
- AR for WordPress
- Reviews Widgets for Google, TripAdvisor, Yelp & Recommendations
- weDocs: AI Powered Knowledge Base, Docs, Documentation, Wiki & AI Chatbot
- CURCY – Multi Currency for WooCommerce – Smoothly on WooCommerce 9.x
- MotoPress Appointment Booking
- WP Review Slider Pro
- Appointment Bookings for Zoom GoogleMeet and more – Wappointment
- RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator
- Product Video Gallery for Woocommerce
- Groundhogg — CRM, Newsletters, and Marketing Automation
- My Calendar – Accessible Event Manager
- JoomSport – for Sports: Team & League, Football, Hockey & more
- Insert Pages
- Request a Quote – Quote Forms for Any WordPress Site
- Houzez Property Feed
- Academy LMS – WordPress LMS Plugin for Complete eLearning Solution
- Divi Form Builder
- Envo’s Templates & Widgets for Elementor and WooCommerce
- WP Database Backup – Unlimited Database & Files Backup by Backup for WP
- WP Photo Album Plus
- VikBooking Hotel Booking Engine & PMS
- RegistrationMagic – Custom Registration Forms, User Registration, Payment, and User Login
- SMS Alert – SMS & OTP for WooCommerce, Order Notifications & Abandoned Cart Recovery
- Motors – Car Dealership & Classified Listings Plugin
- Dokan Pro
- BookingPress Appointment Booking Pro
- Appointment Booking Calendar
- WP-BusinessDirectory – Business directory plugin for WordPress
- JetWidgets For Elementor
- Event Organiser
- Custom Payment Gateways for WooCommerce
- Taskbuilder – Project Management & Task Management Tool With Kanban Board
- FV Flowplayer Video Player
- WPBot – AI ChatBot for Live Support, Lead Generation, AI Services
- WP Google Review Slider
- Visualizer – Tables & Charts Manager with Built-in AI Generator
- Kali Forms — Contact Form & Drag-and-Drop Builder
- Video Gallery – YouTube Gallery, Playlist & Video Grid
- Webmention
- Ajax Load More – Filters
- EventON (Pro) – WordPress Virtual Event Calendar Plugin
- Export User Data
- ProfileGrid – User Profiles, Groups and Communities
- Editorial Rating – Product Review & Rating System
- Premium Addons for KingComposer
- PixMagix – WordPress Image Editor
- Plugin for Google Analytics by IO technologies
- Team Members – Multi Language Supported Team Plugin
- Custom Field Template
- Embed Privacy
- Simple User Avatar
運用担当者様へのお願い
定期的な対策チェックリスト
- WordPress本体・プラグイン・テーマを常に最新バージョンに更新する
- 使用していないプラグイン・テーマは削除する
- 管理画面へのアクセス制限(IP制限、二要素認証)を設定する
- 定期的にバックアップを取得し、復元手順を確認しておく
- WAF(Web Application Firewall)の導入を検討する
脆弱性情報は日々更新されます。プラグインのアップデート通知を確認し、速やかに対応いただくことが、サイトを安全に保つための最善策です。
とはいえ、毎週これだけの脆弱性情報を追いかけ、一つひとつのプラグインを安全にアップデートしていくのは大変な作業です。「自社で対応したいけれど、WordPressに詳しいスタッフがいない」「本業が忙しくてセキュリティまで手が回らない」
そんな課題を抱えている企業様は、ぜひジオコードのWordPressセキュリティプランをご検討ください。WordPress本体・プラグイン・テーマのアップデート対応から、脆弱性の監視、改ざん検知まで、WordPressのセキュリティに関わることなら何でもサポートいたします。