WordPress サイトのセキュリティを維持するためには、プラグインを常に最新の状態に保つことが重要です。セキュリティ企業の Wordfence が公開した週次脆弱性レポート（2025年4月28日～5月4日）によると、今週も多くのプラグインに脆弱性が発見されました。

この記事では、その中から特に WooCommerce に関連するプラグインの脆弱性情報をピックアップし、日本語で概要と対策をまとめました。ご利用中のプラグインが含まれていないかご確認いただき、迅速な対応をお願いいたします。

脆弱性が確認された WooCommerce 関連プラグインと対策

以下に、今回報告された脆弱性情報の中から、WooCommerce に関連するプラグインをピックアップし、その内容と対策をまとめました。

---

Product Category Slider for WooCommerce

• 影響バージョン: 4.3.4 以下
• 脆弱性: 認証されたユーザー（投稿者以上の権限）によるローカルファイルインクルージョン (CVE-2025-39364)
  • CVSSスコア: 8.8 (深刻度: High)
• 考えられる影響: 投稿者以上の権限を持つ攻撃者が、サーバー上の任意のファイルを読み取ることができる可能性があります。これにより、設定ファイルや機密情報が漏洩する恐れがあります。
• 推奨される対策: この脆弱性は修正済み（Patched）です。プラグインを最新バージョンにアップデートしてください。

---

Advance Seat Reservation Management for WooCommerce

• 影響バージョン: 3.3 以下
• 脆弱性: 未認証SQLインジェクション (CVE-2024-13344)
  • CVSSスコア: 7.5 (深刻度: High)
• 考えられる影響: 認証されていない攻撃者が、データベースに対して不正なSQLクエリを実行できる可能性があります。これにより、顧客情報や注文データなどの機密情報が窃取されたり、改ざんされたりする危険性があります。
• 推奨される対策: この脆弱性は修正済み（Patched）です。プラグインを最新バージョンにアップデートしてください。

---

WordPress Simple PayPal Shopping Cart

• 影響バージョン: 5.1.3 以下
• 脆弱性1: 安全でない直接オブジェクト参照 (CVE-2025-3874)
  • CVSSスコア: 6.5 (深刻度: Medium)
• 考えられる影響1: 攻撃者が本来アクセス権のない情報にアクセスしたり、操作したりできる可能性があります。
• 脆弱性2: 認証されたユーザー（投稿者以上の権限）によるショートコードを介した保存型クロスサイトスクリプティング (CVE-2025-3890)
  • CVSSスコア: 6.4 (深刻度: Medium)
• 考えられる影響2: 投稿者以上の権限を持つ攻撃者が、悪意のあるスクリプトをサイトに埋め込むことができます。これにより、サイトを訪れた他のユーザーのブラウザ上で不正なスクリプトが実行され、セッション情報が盗まれたり、マルウェアに感染させられたりする可能性があります。
• 脆弱性3: ‘quantity’ パラメータを介した安全でない直接オブジェクト参照 (CVE-2025-3889)
  • CVSSスコア: 5.3 (深刻度: Medium)
• 考えられる影響3: 攻撃者が数量に関連するデータなど、本来アクセス権のない情報を不正に操作できる可能性があります。
• 推奨される対策: これらの脆弱性は修正済み（Patched）です。プラグインを最新バージョンにアップデートしてください。

---

Custom PC Builder Lite for WooCommerce（Unpatched）

• 影響バージョン: 1.0.1 以下
• 脆弱性: 未認証での設定更新を許す権限設定の不備 (CVE-2025-43838)
  • CVSSスコア: 5.3 (深刻度: Medium)
• 考えられる影響: 認証されていない攻撃者が、プラグインの設定を不正に変更できる可能性があります。これにより、サイトの意図しない動作やセキュリティ機能の無効化などが引き起こされる恐れがあります。
• 推奨される対策: この脆弱性は未修正（Unpatched）です。開発元から修正パッチが提供されるまでは、プラグインを一時的に無効化するか、代替プラグインの利用を検討してください。

---

Total processing card payments for WooCommerce (Nomupay Payment Processing Gateway)（Unpatched）

• 影響バージョン: 7.1.7 以下 (プラグイン名: Nomupay Payment Processing Gateway)
• 脆弱性: 認証されたユーザー（ショップ管理者以上の権限）による任意のファイルダウンロード (CVE-2025-46486)
  • CVSSスコア: 4.9 (深刻度: Medium)
• 考えられる影響: ショップ管理者以上の権限を持つ攻撃者が、サーバー上の任意のファイルをダウンロードできる可能性があります。これにより、WordPressの設定ファイル（wp-config.phpなど）やその他の機密データが漏洩する危険性があります。
• 推奨される対策: この脆弱性は未修正（Unpatched）です。開発元から修正パッチが提供されるまでは、プラグインを一時的に無効化するか、代替プラグインの利用を検討してください。

---

Ultimate Store Kit Elementor Addons, Woocommerce Builder, EDD Builder, Elementor Store Builder, Product Grid, Product Table, Woocommerce Slid ¹ er (Ultimate Store Kit – Elementor powered WooCommerce Builder, 80+ Widgets and Template Builder)

• 影響バージョン: 2.4.1 以下 (プラグイン名: Ultimate Store Kit – Elementor powered WooCommerce Builder, 80+ Widgets and Template Builder)
• 脆弱性: クロスサイトリクエストフォージェリ（CSRF）による限定的なユーザーメタデータの更新 (CVE-2025-2168)
  • CVSSスコア: 4.3 (深刻度: Medium)
• 考えられる影響: ログインしているユーザーが、意図しないうちに特定の操作（この場合はユーザーメタデータの一部更新）を実行させられる可能性があります。
• 推奨される対策: この脆弱性は修正済み（Patched）です。プラグインを最新バージョンにアップデートしてください。

---

一般的なセキュリティ対策

• 常に最新の状態を保つ: WordPress本体、テーマ、すべてのプラグインを常に最新バージョンにアップデートしてください。
• 不要なプラグインの削除: 使用していないプラグインやテーマは削除しましょう。
• 強力なパスワードの使用: 管理者アカウントには推測されにくい、複雑なパスワードを設定してください。
• セキュリティプラグインの導入: Wordfenceのようなセキュリティプラグインを導入し、設定を適切に行ってください。
• 定期的なバックアップ: サイトのデータを定期的にバックアップし、問題が発生した場合に復元できるようにしておきましょう。
• ユーザー権限の見直し: 各ユーザーアカウントに必要最小限の権限のみを付与してください。

免責事項

この記事は、提供されたWordfenceのレポートテキストに基づいて作成された概要です。脆弱性の詳細や正確な情報については、必ず元のレポートやプラグイン開発元の情報をご確認ください。プラグインのアップデートや削除は、ご自身の責任において実施してください。事前にバックアップを取得することを強く推奨します。