Japanized for WooCommerce

WooCommerce 関連脆弱性レポート(2025/06/23-2025/06/29)

in ,

WordPress サイトのセキュリティを維持するためには、プラグインを常に最新の状態に保つことが重要です。セキュリティ企業の Wordfence が公開した週次脆弱性レポート(2025年6月23日~6月29日)によると、今週も多くのプラグインに脆弱性が発見されました。

この記事では、その中から特に WooCommerce に関連するプラグインの脆弱性情報をピックアップし、日本語で概要と対策をまとめました。ご利用中のプラグインが含まれていないかご確認いただき、迅速な対応をお願いいたします。

Table of Contents

セキュリティ対策 for WooCommerce

顧客情報も売上も守りたいあなたへ。WooCommerceのセキュリティなら、これ一つで。

安心を、すべての WooCommerce ストアへ

脆弱性が確認された WooCommerce 関連プラグインと対策

セキュリティプラグイン「Wordfence」によって最近報告された脆弱性の中から、WooCommerceに関連するプラグインに絞って、その内容と対策を分かりやすく解説します。ご自身のサイトに該当するプラグインがないか、ぜひご確認ください。

CVSS 評価について

各脆弱性の深刻度を示す指標として「CVSS Rating」を記載しています。これは、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)という国際的な基準に基づいたスコアで、脆弱性の技術的な深刻度を数値で表したものです。

  • 9.0〜10.0: 緊急(Critical) – 最も深刻な脆弱性で、即座の対応が必要です。
  • 7.0〜8.9: 高(High) – 深刻な脆弱性で、迅速な対応が求められます。
  • 4.0〜6.9: 中(Medium) – 中程度の深刻度の脆弱性で、対応が推奨されます。
  • 0.1〜3.9: 低(Low) – 深刻度は低いですが、可能な限り対応することが望ましいです。

Greenmart <= 4.2.3 – Unauthenticated Local File Inclusion

  • テーマ名: GreenMart – Organic & Food WooCommerce WordPress Theme
  • CVSS Rating: 9.8 (緊急)
  • 脆弱性の簡単な説明: ログインしていないユーザーでも、サーバー上の機密ファイルを読み取れる可能性のある「ローカルファイルインクルージョン(LFI)」の脆弱性があります。
  • 脆弱性によって起こりうる影響: 攻撃者は、Webサーバーの設定ファイルやデータベースの認証情報など、重要な情報を不正に取得する可能性があります。最悪の場合、サイトの完全に制御を奪われたり、顧客データが漏洩したりする恐れがあります。
  • 推奨される対策: 修正パッチが提供されています。速やかに最新バージョン (4.2.3以降) にアップデートしてください。

MBStore – Digital WooCommerce WordPress Theme <= 2.3 – Unauthenticated Local File Inclusion (修正パッチ非対応)

  • テーマ名: MBStore – Digital WooCommerce WordPress Theme
  • CVSS Rating: 9.8 (緊急)
  • 脆弱性の簡単な説明: ログインしていないユーザーでも、サーバー上の機密ファイルを読み取れる可能性のあるLFIの脆弱性があります。
  • 脆弱性によって起こりうる影響: 上記のGreenmartと同様に、Webサーバー上の機密ファイルの読み取りや悪意のあるコードの実行が可能になり、サイトの乗っ取りやデータ漏洩のリスクがあります。
  • 推奨される対策: 残念ながら、現時点では修正パッチが提供されていません。このプラグインを使用している場合は、使用を中止し、代替プラグインへの移行を強く検討してください。 やむを得ず使用を継続する場合は、WAF (Web Application Firewall) の導入など、追加のセキュリティ対策を講じる必要があります。

Zenny <= 1.7.5 – Unauthenticated Local File Inclusion (修正パッチ非対応)

  • テーマ名: Zenny – Jewelry, Watches & Glasses Elementor WooCommerce WordPress Theme
  • CVSS Rating: 9.8 (緊急)
  • 脆弱性の簡単な説明: ログインしていないユーザーでも、サーバー上の機密ファイルを読み取れる可能性のあるLFIの脆弱性があります。
  • 脆弱性によって起こりうる影響: 上記のMBStoreと同様に、機密ファイルの読み取りやコード実行の危険性があり、サイトのセキュリティが深刻に侵害される可能性があります。
  • 推奨される対策: 現時点では修正パッチが提供されていません。このプラグインの使用を停止し、代替プラグインへの移行を検討することを強く推奨します。

BRW <= 1.8.7 – Unauthenticated Local File Inclusion

  • プラグイン名: BRW – Booking Rental Plugin WooCommerce
  • CVSS Rating: 8.1 (高)
  • 脆弱性の簡単な説明: ログインしていないユーザーでも、サーバー上の機密ファイルを読み取れる可能性のあるLFIの脆弱性があります。
  • 脆弱性によって起こりうる影響: 攻撃者がサーバー上の機密ファイルを読み取ったり、悪意のあるコードを実行したりする可能性があります。
  • 推奨される対策: 修正パッチが提供されています。速やかに最新バージョン (1.8.7以降) にアップデートしてください。

PrintXtore <= 1.7.5 – Unauthenticated Local File Inclusion (修正パッチ非対応)

  • プラグイン名: PrintXtore – Printing Services & Design Online WordPress WooCommerce Theme
  • CVSS Rating: 8.1 (高)
  • 脆弱性の簡単な説明: ログインしていないユーザーでも、サーバー上の機密ファイルを読み取れる可能性のあるLFIの脆弱性があります。
  • 脆弱性によって起こりうる影響: 攻撃者がサーバー上の機密ファイルを読み取ったり、悪意のあるコードを実行したりする可能性があります。
  • 推奨される対策: 現時点では修正パッチが提供されていません。このプラグインの使用を停止し、代替プラグインへの移行を強く検討してください。

Puca <= 2.6.33 – Unauthenticated Local File Inclusion

  • プラグイン名: Puca – Optimized Mobile WooCommerce Theme
  • CVSS Rating: 8.1 (高)
  • 脆弱性の簡単な説明: ログインしていないユーザーでも、サーバー上の機密ファイルを読み取れる可能性のあるLFIの脆弱性があります。
  • 脆弱性によって起こりうる影響: 攻撃者がサーバー上の機密ファイルを読み取ったり、悪意のあるコードを実行したりする可能性があります。
  • 推奨される対策: 修正パッチが提供されています。速やかに最新バージョン (2.6.33以降) にアップデートしてください。

Samex – Clean, Minimal Shop WooCommerce WordPress Theme <= 2.6 – Unauthenticated Local File Inclusion (修正パッチ非対応)

  • プラグイン名: Samex – Clean, Minimal Shop WooCommerce WordPress Theme
  • CVSS Rating: 8.1 (高)
  • 脆弱性の簡単な説明: ログインしていないユーザーでも、サーバー上の機密ファイルを読み取れる可能性のあるLFIの脆弱性があります。
  • 脆弱性によって起こりうる影響: 攻撃者がサーバー上の機密ファイルを読み取ったり、悪意のあるコードを実行したりする可能性があります。
  • 推奨される対策: 現時点では修正パッチが提供されていません。このプラグインの使用を停止し、代替プラグインへの移行を強く検討してください。

SNS Vicky <= 3.7 – Unauthenticated Local File Inclusion (修正パッチ非対応)

  • プラグイン名: SNS Vicky – Cosmetic WooCommerce WordPress Theme
  • CVSS Rating: 8.1 (高)
  • 脆弱性の簡単な説明: ログインしていないユーザーでも、サーバー上の機密ファイルを読み取れる可能性のあるLFIの脆弱性があります。
  • 脆弱性によって起こりうる影響: 攻撃者がサーバー上の機密ファイルを読み取ったり、悪意のあるコードを実行したりする可能性があります。
  • 推奨される対策: 現時点では修正パッチが提供されていません。このプラグインの使用を停止し、代替プラグインへの移行を強く検討してください。

Sofass <= 1.3.4 – Unauthenticated Local File Inclusion (修正パッチ非対応)

  • プラグイン名: Sofass – Elementor WooCommerce WordPress Theme
  • CVSS Rating: 8.1 (高)
  • 脆弱性の簡単な説明: ログインしていないユーザーでも、サーバー上の機密ファイルを読み取れる可能性のあるLFIの脆弱性があります。
  • 脆弱性によって起こりうる影響: 攻撃者がサーバー上の機密ファイルを読み取ったり、悪意のあるコードを実行したりする可能性があります。
  • 推奨される対策: 現時点では修正パッチが提供されていません。このプラグインの使用を停止し、代替プラグインへの移行を強く検討してください。

Amely <= 3.1.4 – Unauthenticated SQL Injection

  • プラグイン名: Amely – Fashion Shop WordPress Theme for WooCommerce
  • CVSS Rating: 7.5 (高)
  • 脆弱性の簡単な説明: ログインしていないユーザーでも、データベースに不正なクエリを実行できる「SQLインジェクション」の脆弱性があります。
  • 脆弱性によって起こりうる影響: 攻撃者がデータベース内の情報を不正に取得したり、改ざんしたりする可能性があります。これにより、顧客情報の漏洩やサイトの機能停止につながる恐れがあります。
  • 推奨される対策: 修正パッチが提供されています。速やかに最新バージョン (3.1.4以降) にアップデートしてください。

GG Bought Together for WooCommerce <= 1.0.2 – Unauthenticated SQL Injection (修正パッチ非対応)

  • プラグイン名: GG Bought Together for WooCommerce
  • CVSS Rating: 7.5 (高)
  • 脆弱性の簡単な説明: ログインしていないユーザーでも、データベースに不正なクエリを実行できるSQLインジェクションの脆弱性があります。
  • 脆弱性によって起こりうる影響: 攻撃者がデータベース内の情報を不正に取得したり、改ざんしたりする可能性があります。
  • 推奨される対策: 現時点では修正パッチが提供されていません。このプラグインの使用を停止し、代替プラグインへの移行を強く検討してください。

WPB Category Slider for WooCommerce <= 1.71 – Authenticated (Contributor+) Local File Inclusion (修正パッチ非対応)

  • プラグイン名: WPB Category Slider for WooCommerce – Product Categories Carousel Slider & Grid with Icon and Images
  • CVSS Rating: 7.5 (高)
  • 脆弱性の簡単な説明: 寄稿者以上の権限を持つユーザーが、サーバー上の機密ファイルを読み取れる可能性のあるLFIの脆弱性があります。
  • 脆弱性によって起こりうる影響: サイトへのアクセス権を持つ悪意のあるユーザーが、機密ファイルへのアクセスや悪意のあるコードの実行を行うことで、サイトのセキュリティが脅かされる可能性があります。
  • 推奨される対策: 現時点では修正パッチが提供されていません。このプラグインの使用を停止するか、信頼できる寄稿者のみに権限を制限することを検討してください。

Elessi <= 6.3.9 – Reflected Cross-Site Scripting

  • プラグイン名: Elessi – WooCommerce AJAX WordPress Theme – RTL support
  • CVSS Rating: 6.1 (中)
  • 脆弱性の簡単な説明: 攻撃者が作成した悪意のあるリンクをユーザーがクリックすると、ユーザーのブラウザ上で不正なスクリプトが実行される「反射型クロスサイトスクリプティング(Reflected XSS)」の脆弱性があります。
  • 脆弱性によって起こりうる影響: 攻撃者は、ユーザーのセッションクッキー(ログイン情報)を盗んだり、ウェブサイトのコンテンツを一時的に改ざんしたりする可能性があります。
  • 推奨される対策: 修正パッチが提供されています。速やかに最新バージョン (6.3.9以降) にアップデートしてください。

WPCRM – CRM for Contact form CF7 & WooCommerce <= 3.2.0 – Reflected Cross-Site Scripting (修正パッチ非対応)

  • プラグイン名: WPCRM – CRM for Contact form CF7 & WooCommerce
  • CVSS Rating: 6.1 (中)
  • 脆弱性の簡単な説明: 反射型クロスサイトスクリプティング(Reflected XSS)の脆弱性があります。
  • 脆弱性によって起こりうる影響: 攻撃者が悪意のあるスクリプトをユーザーのブラウザ上で実行させ、セッションクッキーの盗難や、サイトコンテンツの改ざんを行う可能性があります。
  • 推奨される対策: 現時点では修正パッチが提供されていません。このプラグインの使用を停止するか、WAFの導入を検討してください。

Amazon Products to WooCommerce <= 1.2.7 – Missing Authorization to Unauthenticated Arbitrary Product Creation (修正パッチ非対応)

  • プラグイン名: Amazon Products to WooCommerce
  • CVSS Rating: 5.3 (中)
  • 脆弱性の簡単な説明: ログインしていないユーザーでも、サイトに商品を勝手に追加できてしまう権限の欠如の脆弱性があります。
  • 脆弱性によって起こりうる影響: 攻撃者がオンラインストアに不正な商品を大量に追加したり、既存の商品情報を改ざんしたりする可能性があります。これにより、ストアの信頼性や運営に大きな損害を与える恐れがあります。
  • 推奨される対策: 現時点では修正パッチが提供されていません。このプラグインの使用を停止し、代替プラグインへの移行を強く検討してください。

HurryTimer <= 2.13.1 – Missing Authorization

  • プラグイン名: HurryTimer – An Scarcity and Urgency Countdown Timer for WordPress & WooCommerce
  • CVSS Rating: 5.3 (中)
  • 脆弱性の簡単な説明: 権限の不備により、本来アクセスできないはずの設定や機能に不正にアクセスできる脆弱性があります。
  • 脆弱性によって起こりうる影響: 攻撃者がカウントダウンタイマーの設定を不正に変更するなど、サイトの表示や機能に悪影響を与える可能性があります。
  • 推奨される対策: 修正パッチが提供されています。速やかに最新バージョン (2.13.1以降) にアップデートしてください。

Mollie Payments for WooCommerce <= 8.0.2 – Unauthenticated Insecure Direct Object Reference (修正パッチ非対応)

  • プラグイン名: Mollie Payments for WooCommerce
  • CVSS Rating: 5.3 (中)
  • 脆弱性の簡単な説明: ログインしていないユーザーが、URLやフォームのパラメータを操作することで、他のユーザーの注文情報などの機密データに不正にアクセスできる「安全でない直接オブジェクト参照(IDOR)」の脆弱性があります。
  • 脆弱性によって起こりうる影響: 顧客の個人情報や注文履歴などの機密情報が漏洩する可能性があります。これは、顧客の信頼を失い、法的な問題に発展するリスクがあります。
  • 推奨される対策: 現時点では修正パッチが提供されていません。このプラグインの使用を停止し、代替の決済プラグインへの移行を強く検討してください。

Additional Order Filters for WooCommerce <= 1.22 – Cross-Site Request Forgery (修正パッチ非対応)

  • プラグイン名: Additional Order Filters for WooCommerce
  • CVSS Rating: 4.3 (中)
  • 脆弱性の簡単な説明: ユーザーが意図せず、攻撃者が作成した不正なリクエストを送信してしまう「クロスサイトリクエストフォージェリ(CSRF)」の脆弱性があります。
  • 脆弱性によって起こりうる影響: 攻撃者がユーザーをだまして、本来行うべきではない操作(例えば、注文の設定変更など)を強制的に実行させる可能性があります。
  • 推奨される対策: 現時点では修正パッチが提供されていません。このプラグインの使用を停止するか、CSRF対策が施された代替プラグインの使用を検討してください。

WooCommerce PDF Invoice Builder <= 1.2.148 – Cross-Site Request Forgery

  • プラグイン名: PDF Builder for WooCommerce. Create invoices,packing slips and more
  • CVSS Rating: 4.3 (中)
  • 脆弱性の簡単な説明: ユーザーが意図せず、攻撃者が作成した不正なリクエストを送信してしまうCSRFの脆弱性があります。
  • 脆弱性によって起こりうる影響: 攻撃者がユーザーをだまして、PDFの生成設定の変更など、意図しない操作を実行させる可能性があります。
  • 推奨される対策: 修正パッチが提供されています。速やかに最新バージョン (1.2.148以降) にアップデートしてください。

一般的なセキュリティ対策

  • 常に最新の状態を保つ: WordPress本体、テーマ、すべてのプラグインを常に最新バージョンにアップデートしてください。
  • 不要なプラグインの削除: 使用していないプラグインやテーマは削除しましょう。
  • 強力なパスワードの使用: 管理者アカウントには推測されにくい、複雑なパスワードを設定してください。
  • セキュリティプラグインの導入: Wordfenceのようなセキュリティプラグインを導入し、設定を適切に行ってください。
  • 定期的なバックアップ: サイトのデータを定期的にバックアップし、問題が発生した場合に復元できるようにしておきましょう。
  • ユーザー権限の見直し: 各ユーザーアカウントに必要最小限の権限のみを付与してください。

免責事項

この記事は、提供されたWordfenceのレポートテキストに基づいて作成された概要です。脆弱性の詳細や正確な情報については、必ず元のレポートやプラグイン開発元の情報をご確認ください。プラグインのアップデートや削除は、ご自身の責任において実施してください。事前にバックアップを取得することを強く推奨します。

セキュリティー対策 for WooCommerce(日本セキュリティガイドライン対応)

セキュリティー対策 for WooCommerce(日本セキュリティガイドライン対応)

WooCommerce サイトに対して最適な保守を行います。

定期購入費用が最低価格: ¥3,300 税込 / 3ヶ月 継続期間 12ヶ月と登録費用が¥11,000
今すぐショッピング