Japanized for WooCommerce

WooCommerce 関連脆弱性レポート(2025/06/02-2025/06/08)

in ,

WordPress サイトのセキュリティを維持するためには、プラグインを常に最新の状態に保つことが重要です。セキュリティ企業の Wordfence が公開した週次脆弱性レポート(2025年6月2日~6月8日)によると、今週も多くのプラグインに脆弱性が発見されました。

この記事では、その中から特に WooCommerce に関連するプラグインの脆弱性情報をピックアップし、日本語で概要と対策をまとめました。ご利用中のプラグインが含まれていないかご確認いただき、迅速な対応をお願いいたします。

Table of Contents

セキュリティ対策 for WooCommerce

顧客情報も売上も守りたいあなたへ。WooCommerceのセキュリティなら、これ一つで。

安心を、すべての WooCommerce ストアへ

脆弱性が確認された WooCommerce 関連プラグインと対策

セキュリティプラグイン「Wordfence」によって最近報告された脆弱性の中から、WooCommerceに関連するプラグインに絞って、その内容と対策を分かりやすく解説します。ご自身のサイトに該当するプラグインがないか、ぜひご確認ください。

Revo – Multipurpose Elementor WooCommerce WordPress Theme (修正パッチ非対応)

  • 影響を受けるバージョン: 4.0.26 以下
  • 脆弱性の種類: 認証されていないローカルファイルインクルージョン (Unauthenticated Local File Inclusion)
  • 概要: この脆弱性を悪用されると、認証されていない攻撃者がサーバー上の任意のファイルを読み取ることが可能になります。
  • 考えられる影響: wp-config.phpのような重要な設定ファイルが読み取られ、データベースへのアクセス情報やその他の機密情報が漏洩する可能性があります。
  • 推奨される対策: 修正パッチが提供されていません。直ちにテーマを無効化し、開発者からのアップデートを待つか、代替テーマへの切り替えを強く推奨します。

BRW – Booking Rental Plugin WooCommerce

  • 影響を受けるバージョン: 1.8.6 以下
  • 脆弱性の種類: 認証されたローカルファイルインクルージョン (Authenticated Local File Inclusion) および ストアドクロスサイトスクリプティング (Stored Cross-Site Scripting)
  • 概要: 投稿者以上の権限を持つ攻撃者が、サーバー上のファイルを読み取ったり、悪意のあるスクリプトをサイトに埋め込んだりすることが可能です。
  • 考えられる影響: サーバー内の機密情報の漏洩や、サイトを訪れたユーザーのブラウザで不正なスクリプトが実行される可能性があります。
  • 推奨される対策: 修正済みのバージョンにアップデートしてください。

WooCommerce Product Filter (修正パッチ非対応)

  • 影響を受けるバージョン: 2.7.6 以下
  • 脆弱性の種類: 認証されていないSQLインジェクション (Unauthenticated SQL Injection)
  • 概要: 認証されていない攻撃者が、データベースに対して不正なクエリ(命令)を実行できる脆弱性です。
  • 考えられる影響: データベース内の顧客情報、注文情報、商品情報などが盗まれたり、改ざんされたりする危険性があります。
  • 推奨される対策: 修正パッチが提供されていません。プラグインを無効化し、代替プラグインの利用を検討してください。

Recover abandoned cart for WooCommerce (修正パッチ非対応)

  • 影響を受けるバージョン: 2.5 以下
  • 脆弱性の種類: 認証されていないSQLインジェクション (Unauthenticated SQL Injection)
  • 概要: 攻撃者が認証なしでデータベースを不正に操作できます。
  • 考えられる影響: データベースから機密情報(顧客情報など)を抽出される可能性があります。
  • 推奨される対策: 修正パッチが提供されていません。プラグインを無効化し、代替手段を検討することを強く推奨します。

Spreadsheet Price Changer for WooCommerce and WP E-commerce – Light (修正パッチ非対応)

  • 影響を受けるバージョン: 2.4.37 以下
  • 脆弱性の種類: 認証されていないSQLインジェクション (Unauthenticated SQL Injection)
  • 概要: 認証されていない攻撃者がデータベースを直接操作できる可能性があります。
  • 考えられる影響: データベース内のあらゆる情報(商品価格、顧客情報など)が漏洩、改ざん、削除される可能性があります。
  • 推奨される対策: 修正パッチが提供されていないため、ただちにプラグインを無効化し、代替プラグインを検討してください。

WooCommerce Ultimate Gift Card (修正パッチ非対応)

  • 影響を受けるバージョン: 2.8.10 以下
  • 脆弱性の種類: 認証されていないSQLインジェクション (Unauthenticated SQL Injection)
  • 概要: 認証されていない第三者がデータベースに対して不正な操作を行える可能性があります。
  • 考えられる影響: ギフトカード情報や顧客データなどの情報が漏洩する恐れがあります。
  • 推奨される対策: 修正パッチが提供されていません。プラグインを無効化し、開発元からの情報を待つか、代替プラグインを検討してください。

Hydra Booking – All in One Appointment Booking System | Appointment Scheduling, Booking Calendar & WooCommerce Bookings

  • 影響を受けるバージョン: 1.1.10 以下
  • 脆弱性の種類: 認証されたSQLインジェクション (Authenticated SQL Injection)
  • 概要: 投稿者以上の権限を持つ攻撃者が、不正なSQLクエリを実行できます。
  • 考えられる影響: データベース内の予約情報やユーザー情報などが漏洩する可能性があります。
  • 推奨される対策: 修正済みのバージョンにアップデートしてください。

All Currencies for WooCommerce (修正パッチ非対応)

  • 影響を受けるバージョン: 2.4.4 以下
  • 脆弱性の種類: 認証されたストアドクロスサイトスクリプティング (Stored Cross-Site Scripting)
  • 概要: 投稿者以上の権限を持つ攻撃者が、ページ内に悪意のあるスクリプトを埋め込むことができます。
  • 考えられる影響: サイト訪問者や管理者のブラウザ上で不正なスクリプトが実行され、情報漏洩やアカウント乗っ取りにつながる可能性があります。
  • 推奨される対策: 修正パッチが提供されていません。プラグインを無効化し、代替プラグインを検討してください。

Essential Addons for Elementor – Best Elementor Templates, Widgets, Kits & WooCommerce Builders

  • 影響を受けるバージョン: 6.1.12 以下
  • 脆弱性の種類: 認証されたストアドクロスサイトスクリプティング (Stored Cross-Site Scripting)
  • 概要: イベントカレンダーウィジェットや価格表ウィジェットを介して、投稿者以上の権限を持つ攻撃者が悪意のあるスクリプトを埋め込めます。
  • 考えられる影響: サイト訪問者が悪意のあるスクリプトを実行させられる危険があります。
  • 推奨される対策: 修正済みのバージョンにアップデートしてください。

WpEvently – Event Manager and Tickets Selling Plugin for WooCommerce

  • 影響を受けるバージョン: 4.4.2 以下
  • 脆弱性の種類: 認証されたストアドクロスサイトスクリプティング (Stored Cross-Site Scripting)
  • 概要: 投稿者以上の権限を持つ攻撃者が、サイトに不正なスクリプトを保存させることが可能です。
  • 考えられる影響: ユーザーのアカウント情報が盗まれたり、サイトが改ざんされたりする可能性があります。
  • 推奨される対策: 修正済みのバージョンにアップデートしてください。

MC Woocommerce Wishlist

  • 影響を受けるバージョン: 1.9.1 以下
  • 脆弱性の種類: 反射型クロスサイトスクリプティング (Reflected Cross-Site Scripting)
  • 概要: 攻撃者が作成した不正なURLをユーザーがクリックすることで、そのユーザーのブラウザ上でスクリプトが実行されます。
  • 考えられる影響: ユーザーセッションの乗っ取りや、個人情報の窃取につながる可能性があります。
  • 推奨される対策: 修正済みのバージョンにアップデートしてください。

WC MyParcel Belgium

  • 影響を受けるバージョン: 4.5.5-beta 以下
  • 脆弱性の種類: 反射型クロスサイトスクリプティング (Reflected Cross-Site Scripting)
  • 概要: ユーザーが悪意のあるリンクをクリックした場合に、ブラウザ上で不正なスクリプトが実行される可能性があります。
  • 考えられる影響: ユーザーのアカウント情報などが盗まれる危険があります。
  • 推奨される対策: 修正済みのバージョンにアップデートしてください。

WooCommerce Photo Reviews Premium (修正パッチ非対応)

  • 影響を受けるバージョン: 1.3.13 以下
  • 脆弱性の種類: 反射型クロスサイトスクリプティング (Reflected Cross-Site Scripting)
  • 概要: 攻撃者が用意した特別なリンクを介して、ユーザーのブラウザで悪意のあるスクリプトを実行させることができます。
  • 考えられる影響: ユーザーのセッション情報が盗まれるなどの被害が考えられます。
  • 推奨される対策: 修正パッチが提供されていません。プラグインを無効化し、安全が確認されるまで使用を中止してください。

Direct Checkout for WooCommerce Lite (修正パッチ非対応)

  • 影響を受けるバージョン: 1.0.3 以下
  • 脆弱性の種類: 権限の欠如 (Missing Authorization)
  • 概要: 特定の操作において、適切な権限チェックが行われていません。
  • 考えられる影響: 権限のないユーザーが、本来許可されていない操作を実行できてしまう可能性があります。
  • 推奨される対策: 修正パッチが提供されていません。プラグインを無効化することを検討してください。

FraudLabs Pro for WooCommerce

  • 影響を受けるバージョン: 2.22.11 以下
  • 脆弱性の種類: 権限の欠如 (Missing Authorization)
  • 概要: 適切な権限チェックが行われていないため、権限のないユーザーが特定のアクションを実行できる可能性があります。
  • 考えられる影響: 不正な操作により、注文ステータスの変更などが行われる可能性があります。
  • 推奨される対策: 修正済みのバージョンにアップデートしてください。

MultiVendorX – WooCommerce Multivendor Marketplace Solutions

  • 影響を受けるバージョン: 4.2.22 以下
  • 脆弱性の種類: 認証されていない情報漏洩 (Unauthenticated Information Exposure)
  • 概要: 認証されていないユーザーが、サイトの特定の情報にアクセスできる可能性があります。
  • 考えられる影響: 本来は非公開であるべき情報が外部に漏れる可能性があります。
  • 推奨される対策: 修正済みのバージョンにアップデートしてください。

Payment QR WooCommerce (修正パッチ非対応)

  • 影響を受けるバージョン: 1.1.6 以下
  • 脆弱性の種類: 権限の欠如 (Missing Authorization)
  • 概要: 権限チェックが不十分なため、攻撃者が意図しない操作を行える可能性があります。
  • 考えられる影響: 設定の変更や機密情報へのアクセスなどが考えられます。
  • 推奨される対策: 修正パッチが提供されていません。プラグインを無効化し、代替手段を検討してください。

TicketBAI Facturas para WooCommerce (修正パッチ非対応)

  • 影響を受けるバージョン: 3.19 以下
  • 脆弱性の種類: 権限の欠如 (Missing Authorization)
  • 概要: 適切な権限チェックが行われていないため、権限の低いユーザーが重要な操作を行える可能性があります。
  • 考えられる影響: 請求書情報などへの不正なアクセスや操作が行われる可能性があります。
  • 推奨される対策: 修正パッチが提供されていません。プラグインを無効化してください。

Persian WooCommerce SMS

  • 影響を受けるバージョン: 7.0.10 以下
  • 脆弱性の種類: 認証されたSQLインジェクション (Authenticated SQL Injection)
  • 概要: ショップ管理者(Shop manager)以上の権限を持つユーザーが、データベースを不正に操作できます。
  • 考えられる影響: データベース内の機密情報(顧客情報、注文情報など)の漏洩や改ざんの危険があります。
  • 推奨される対策: 修正済みのバージョンにアップデートしてください。

Ultimate Gift Cards for WooCommerce

  • 影響を受けるバージョン: 3.1.4 以下
  • 脆弱性の種類: 認証されたSQLインジェクション (Authenticated SQL Injection)
  • 概要: 管理者権限を持つ攻撃者が、不正なSQLコマンドを実行できます。
  • 考えられる影響: データベースの内容が漏洩または改ざんされる可能性があります。
  • 推奨される対策: 修正済みのバージョンにアップデートしてください。

WC Vendors – WooCommerce Multivendor, WooCommerce Marketplace, Product Vendors

  • 影響を受けるバージョン: 2.5.6 以下
  • 脆弱性の種類: 認証されたSQLインジェクション (Authenticated SQL Injection)
  • 概要: 管理者権限を持つ攻撃者がデータベースを不正に操作できる可能性があります。
  • 考えられる影響: ベンダー情報や商品情報などのデータが危険にさらされる可能性があります。
  • 推奨される対策: 修正済みのバージョンにアップデートしてください。

Stock Locations for WooCommerce

  • 影響を受けるバージョン: 2.8.6 以下
  • 脆弱性の種類: 権限の欠如 (Missing Authorization)
  • 概要: 適切な権限チェックが行われていないため、権限の低いユーザーが在庫場所に関する情報を操作できる可能性があります。
  • 考えられる影響: 在庫情報の不整合などが発生する可能性があります。
  • 推奨される対策: 修正済みのバージョンにアップデートしてください。

Subscription Renewal Reminders for WooCommerce (修正パッチ非対応)

  • 影響を受けるバージョン: 1.3.7 以下
  • 脆弱性の種類: クロスサイトリクエストフォージェリ (Cross-Site Request Forgery – CSRF)
  • 概要: 管理者が意図しないうちに、特定の操作(この場合は通知の非表示など)を実行させられる可能性があります。
  • 考えられる影響: 管理者が気づかないうちに、重要な通知が消されてしまうなどの問題が発生する可能性があります。
  • 推奨される対策: 修正パッチが提供されていません。プラグインの利用には注意が必要です。

一般的なセキュリティ対策

  • 常に最新の状態を保つ: WordPress本体、テーマ、すべてのプラグインを常に最新バージョンにアップデートしてください。
  • 不要なプラグインの削除: 使用していないプラグインやテーマは削除しましょう。
  • 強力なパスワードの使用: 管理者アカウントには推測されにくい、複雑なパスワードを設定してください。
  • セキュリティプラグインの導入: Wordfenceのようなセキュリティプラグインを導入し、設定を適切に行ってください。
  • 定期的なバックアップ: サイトのデータを定期的にバックアップし、問題が発生した場合に復元できるようにしておきましょう。
  • ユーザー権限の見直し: 各ユーザーアカウントに必要最小限の権限のみを付与してください。

免責事項

この記事は、提供されたWordfenceのレポートテキストに基づいて作成された概要です。脆弱性の詳細や正確な情報については、必ず元のレポートやプラグイン開発元の情報をご確認ください。プラグインのアップデートや削除は、ご自身の責任において実施してください。事前にバックアップを取得することを強く推奨します。

セキュリティー対策 for WooCommerce(日本セキュリティガイドライン対応)

セキュリティー対策 for WooCommerce(日本セキュリティガイドライン対応)

WooCommerce サイトに対して最適な保守を行います。

定期購入費用が最低価格: ¥3,300 税込 / 3ヶ月 継続期間 12ヶ月と登録費用が¥11,000
今すぐショッピング