WordPress サイトのセキュリティを維持するためには、プラグインを常に最新の状態に保つことが重要です。セキュリティ企業の Wordfence が公開した週次脆弱性レポート（2025年7月7日～7月13日）によると、今週も多くのプラグインに脆弱性が発見されました。

この記事では、その中から特に WooCommerce に関連するプラグインの脆弱性情報をピックアップし、日本語で概要と対策をまとめました。ご利用中のプラグインが含まれていないかご確認いただき、迅速な対応をお願いいたします。

脆弱性が確認された WooCommerce 関連プラグインと対策

セキュリティプラグイン「Wordfence」によって最近報告された脆弱性の中から、WooCommerceに関連するプラグインおよびテーマに絞って、その内容と対策を分かりやすく解説します。ご自身のサイトに該当するプラグインがないか、ぜひご確認ください。

---

CVSS 評価について

各脆弱性の深刻度を示す指標として「CVSS Rating」を記載しています。これは、共通脆弱性評価システム（CVSS: Common Vulnerability Scoring System）という国際的な基準に基づいたスコアで、脆弱性の技術的な深刻度を数値で表したものです。

• 9.0〜10.0: 緊急（Critical） – 最も深刻な脆弱性で、即座の対応が必要です。
• 7.0〜8.9: 高（High） – 深刻な脆弱性で、迅速な対応が求められます。
• 4.0〜6.9: 中（Medium） – 中程度の深刻度の脆弱性で、対応が推奨されます。
• 0.1〜3.9: 低（Low） – 深刻度は低いですが、可能な限り対応することが望ましいです。

---

The E-Commerce ERP: Purchasing, Inventory, Fulfillment, Manufacturing, BOM, Accounting, Sales Analysis (修正パッチ非対応)

• 脆弱性の概要: 認証されていないユーザーが、サイトの管理者権限を不正に取得できてしまう「権限昇格」の脆弱性（CVE-2025-52836）が発見されました。影響を受けるバージョンは 2.1.1.3 以前です。
• CVSSスコア: 9.8 (緊急)
• 考えられる影響: 攻撃者は認証なしで管理者アカウントを乗っ取り、サイトの全コントロールを掌握する可能性があります。個人情報や注文データの漏洩、サイトの改ざん、不正な商品の登録など、壊滅的な被害につながる恐れがあります。
• 推奨される対策: 本稿執筆時点で修正パッチが提供されていません。 このプラグインを利用している場合は、直ちにプラグインを無効化し、削除することを強く推奨します。代替プラグインへの移行を早急にご検討ください。

---

Woodmart

人気のWooCommerceテーマであるWoodmartに複数の脆弱性が見つかりました。バージョン 8.2.5 以前の利用者は注意が必要です。

• 脆弱性の概要とCVSSスコア:
  1. ローカルファイルインクルージョン (CVE-2025-6746): 投稿者以上の権限を持つユーザーが、サーバー上の設定ファイルなどを読み取れてしまう脆弱性です。 CVSSスコア: 8.8 (高)
  2. 任意ショートコードの実行 (CVE-2025-6744): 認証されていないユーザーが、任意のショートコードを実行できてしまう脆弱性です。 CVSSスコア: 7.3 (高)
  3. クロスサイトスクリプティング (XSS) (CVE-2025-6743): 投稿者以上の権限を持つユーザーが、サイトに悪意のあるスクリプトを埋め込むことができてしまいます。 CVSSスコア: 6.4 (警告)
  4. 投稿情報の漏洩 (CVE-2025-6745): 認証されていないユーザーが、非公開の投稿情報などを閲覧できてしまう可能性があります。 CVSSスコア: 5.3 (警告)
• 考えられる影響: サーバー内部の機密情報（データベースの接続情報など）の漏洩、サイト訪問者の情報窃取、サイトの改ざんといった被害が考えられます。
• 推奨される対策: 開発元から修正パッチが適用されたバージョンがリリースされています。ご利用中の場合は、直ちに最新バージョンへアップデートしてください。

---

Torod – The smart shipping and delivery portal for e-shops and retailers (修正パッチ非対応)

• 脆弱性の概要: 認証されていないユーザーがデータベースを不正に操作できる「SQLインジェクション」の脆弱性（CVE-2025-30936）が発見されました。影響を受けるバージョンは 1.9 以前です。
• CVSSスコア: 7.5 (高)
• 考えられる影響: 攻撃者によって、データベース内の顧客情報や注文履歴が盗まれたり、改ざん・削除されたりする可能性があります。
• 推奨される対策: 修正パッチが提供されていません。 このプラグインは直ちに無効化し、削除することを強く推奨します。

---

Easy Video Player WordPress & WooCommerce (修正パッチ非対応)

• 脆弱性の概要: 認証されていないユーザーが、サーバー上の任意のファイルをダウンロードできてしまう脆弱性（CVE-2025-28955）が発見されました。影響を受けるバージョンは 10.0 以前です。
• CVSSスコア: 6.5 (警告)
• 考えられる影響: WordPressの設定ファイル wp-config.php など、通常はアクセスできない機密ファイルが第三者によってダウンロードされ、サイトの乗っ取りや重要情報の漏洩につながる危険性があります。
• 推奨される対策: 修正パッチが提供されていません。 このプラグインは直ちに無効化し、削除することを強く推奨します。

---

WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible

• 脆弱性の概要: 認証されていないユーザーがプラグインの設定を自由に変更できてしまう、権限チェックの不備（CVE-2025-3780）が発見されました。影響を受けるバージョンは 6.7.16 以前です。
• CVSSスコア: 6.5 (警告)
• 考えられる影響: 攻撃者がサイトのフロントエンド管理機能を不正に操作し、意図しない設定変更を行う可能性があります。
• 推奨される対策: 修正済みのバージョンがリリースされています。速やかに最新バージョンへアップデートしてください。

---

Contest Gallery

Eコマース機能も持つこのプラグインに、2つの脆弱性が報告されています。

• 脆弱性の概要とCVSSスコア:
  1. ストアード・クロスサイトスクリプティング (XSS) (CVE-2025-6716): 投稿者以上の権限を持つユーザーが悪意のあるスクリプトをサイトに保存できます。影響を受けるバージョンは 26.0.8 以前です。 CVSSスコア: 6.4 (警告)
  2. リフレクテッド・クロスサイトスクリプティング (XSS) (CVE-2025-48291): ユーザーのブラウザ上で不正なスクリプトを実行させることが可能です。影響を受けるバージョンは 26.0.6 以前です。 CVSSスコア: 6.1 (警告)
• 考えられる影響: サイト訪問者のブラウザ情報（クッキーなど）が盗まれ、アカウントの乗っ取りにつながったり、悪意のあるサイトへリダイレクトされたりする可能性があります。
• 推奨される対策: 修正済みのバージョンがリリースされています。速やかに最新バージョンへアップデートしてください。

---

WPC Smart Compare for WooCommerce

• 脆弱性の概要: 投稿者以上の権限を持つユーザーが、サイトに悪意のあるスクリプトを埋め込めてしまう「ストアード・クロスサイトスクリプティング (XSS)」の脆弱性（CVE-2025-5530）が発見されました。影響を受けるバージョンは 6.4.6 以前です。
• CVSSスコア: 6.4 (警告)
• 考えられる影響: 管理者やサイト訪問者が悪意のあるスクリプトを実行させられ、アカウント情報の窃取などの被害に遭う可能性があります。
• 推奨される対策: 修正済みのバージョンがリリースされています。速やかに最新バージョンへアップデートしてください。

---

Product XML Feed Manager for WooCommerce – Google Shopping, Social Sites, Skroutz & More

• 脆弱性の概要: 適切な権限チェックが行われていない「Missing Authorization」の脆弱性（CVE-2025-30959）が発見されました。影響を受けるバージョンは 2.9.2 以前です。
• CVSSスコア: 5.3 (警告)
• 考えられる影響: 本来権限のないユーザーが、意図しない操作を実行できてしまう可能性があります。
• 推奨される対策: 修正済みのバージョンがリリースされています。速やかに最新バージョンへアップデートしてください。

---

Ultimate Push Notifications (修正パッチ非対応)

• 脆弱性の概要: 適切な権限チェックが行われていない「Missing Authorization」の脆弱性（CVE-2025-50028）が発見されました。影響を受けるバージョンは 1.1.9 以前です。
• CVSSスコア: 5.3 (警告)
• 考えられる影響: 権限のないユーザーがプッシュ通知の設定などを不正に操作できてしまう可能性があります。
• 推奨される対策: 修正パッチが提供されていません。 このプラグインは直ちに無効化し、削除することを強く推奨します。

---

Wishlist for WooCommerce: Multi Wishlists Per Customer

• 脆弱性の概要: 適切な権限チェックが行われていない「Missing Authorization」の脆弱性（CVE-2025-49319）が発見されました。影響を受けるバージョンは 3.2.3 以前です。
• CVSSスコア: 5.3 (警告)
• 考えられる影響: 権限のないユーザーが、他のユーザーのほしい物リストを閲覧・操作できてしまう可能性があります。
• 推奨される対策: 修正済みのバージョンがリリースされています。速やかに最新バージョンへアップデートしてください。

---

FunnelKit – Funnel Builder for WooCommerce Checkout

• 脆弱性の概要: 管理者権限を持つユーザーがデータベースを不正に操作できる「SQLインジェクション」の脆弱性（CVE-2025-49034）が発見されました。影響を受けるバージョンは 3.10.2 以前です。
• CVSSスコア: 4.9 (警告)
• 考えられる影響: サイトの管理者権限を持つアカウントが何らかの形で侵害された場合、この脆弱性を利用してデータベースにさらなる損害を与える可能性があります。
• 推奨される対策: 修正済みのバージョンがリリースされています。速やかに最新バージョンへアップデートしてください。

---

PW WooCommerce On Sale!

• 脆弱性の概要: 適切な権限チェックが行われていない「Missing Authorization」の脆弱性（CVE-2025-49888）が発見されました。影響を受けるバージョンは 1.39 以前です。
• CVSSスコア: 4.3 (警告)
• 考えられる影響: 権限のないユーザーがセール関連の設定を不正に変更できてしまう可能性があります。
• 推奨される対策: 修正済みのバージョンがリリースされています。速やかに最新バージョンへアップデートしてください。

---

一般的なセキュリティ対策

• 常に最新の状態を保つ: WordPress本体、テーマ、すべてのプラグインを常に最新バージョンにアップデートしてください。
• 不要なプラグインの削除: 使用していないプラグインやテーマは削除しましょう。
• 強力なパスワードの使用: 管理者アカウントには推測されにくい、複雑なパスワードを設定してください。
• セキュリティプラグインの導入: Wordfenceのようなセキュリティプラグインを導入し、設定を適切に行ってください。
• 定期的なバックアップ: サイトのデータを定期的にバックアップし、問題が発生した場合に復元できるようにしておきましょう。
• ユーザー権限の見直し: 各ユーザーアカウントに必要最小限の権限のみを付与してください。

免責事項

この記事は、提供されたWordfenceのレポートテキストに基づいて作成された概要です。脆弱性の詳細や正確な情報については、必ず元のレポートやプラグイン開発元の情報をご確認ください。プラグインのアップデートや削除は、ご自身の責任において実施してください。事前にバックアップを取得することを強く推奨します。