Japanized for WooCommerce

WooCommerce 関連脆弱性レポート(2025/08/18-2025/08/24)

in ,

WordPress サイトのセキュリティを維持するためには、プラグインを常に最新の状態に保つことが重要です。セキュリティ企業の Wordfence が公開した週次脆弱性レポート(2025年8月18日~8月24日)によると、今週も多くのプラグインに脆弱性が発見されました。

この記事では、その中から特に WooCommerce に関連するプラグインの脆弱性情報をピックアップし、日本語で概要と対策をまとめました。ご利用中のプラグインが含まれていないかご確認いただき、迅速な対応をお願いいたします。

セキュリティ対策 for WooCommerce

顧客情報も売上も守りたいあなたへ。WooCommerceのセキュリティなら、これ一つで。

安心を、すべての WooCommerce ストアへ

脆弱性が確認された WooCommerce 関連プラグインと対策

セキュリティプラグイン「Wordfence」によって最近報告された脆弱性の中から、WooCommerceに関連するプラグインおよびテーマに絞って、その内容と対策を分かりやすく解説します。ご自身のサイトに該当するプラグインがないか、ぜひご確認ください。

CVSS 評価について

各脆弱性の深刻度を示す指標として「CVSS Rating」を記載しています。これは、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)という国際的な基準に基づいたスコアで、脆弱性の技術的な深刻度を数値で表したものです。

  • 9.0〜10.0: 緊急(Critical) – 最も深刻な脆弱性で、即座の対応が必要です。
  • 7.0〜8.9: 高(High) – 深刻な脆弱性で、迅速な対応が求められます。
  • 4.0〜6.9: 中(Medium) – 中程度の深刻度の脆弱性で、対応が推奨されます。
  • 0.1〜3.9: 低(Low) – 深刻度は低いですが、可能な限り対応することが望ましいです。

Simpler Checkout

  • 脆弱性のレベル: クリティカル (CVSS: 9.8)
  • 脆弱性の簡単な説明: 認証バイパスの脆弱性です。
  • 脆弱性によって起こりうる影響: 攻撃者がログイン認証を回避し、サイトに不正にアクセスする可能性があります。アカウントの乗っ取りや、サイトの改ざん、顧客情報の漏洩といった深刻な被害につながる恐れがあります。
  • 推奨される対策: 直ちにプラグインを最新バージョン(1.1.14以降)にアップデートしてください。

Multiple Plugins By FunnelKit

  • 脆弱性のレベル: 高 (CVSS: 8.8)
  • 対象プラグイン:
    • FunnelKit Automations – Email Marketing Automation and CRM for WordPress & WooCommerce
    • FunnelKit – Funnel Builder for WooCommerce Checkout
  • 脆弱性の簡単な説明: 貢献者(Contributor)以上の権限を持つユーザーが、機密情報にアクセスし、より高い権限へ昇格できてしまう脆弱性です。
  • 脆弱性によって起こりうる影響: 権限の低いユーザーアカウントが攻撃者に乗っ取られた場合、そのアカウントを足がかりにサイトの管理者権限を奪取される可能性があります。
  • 推奨される対策: 対象となるプラグインを直ちに最新バージョンにアップデートしてください。

FunnelKit – Funnel Builder for WooCommerce Checkout

  • 脆弱性のレベル: 高 (CVSS: 8.1)
  • 脆弱性の簡単な説明: 認証されていないユーザーがサーバー上のファイルを読み込めてしまう、ローカルファイルインクルージョン(LFI)の脆弱性です。
  • 脆弱性によって起こりうる影響: 攻撃者が wp-config.php のようなデータベース接続情報を含む重要な設定ファイルの内容を盗み見たり、サイトの機密情報を漏洩させたりする可能性があります。
  • 推奨される対策: 直ちにプラグインを最新バージョン(3.11.2以降)にアップデートしてください。

SlingBlocks – Gutenberg Blocks by FunnelKit (Formerly WooFunnels)

  • 脆弱性のレベル: 中 (CVSS: 6.4)
  • 脆弱性の簡単な説明: 貢献者(Contributor)以上の権限を持つユーザーによって、悪意のあるスクリプトが保存されてしまう格納型クロスサイトスクリプティング(Stored XSS)の脆弱性です。
  • 脆弱性によって起こりうる影響: サイトを訪れた他のユーザーや管理者のブラウザ上で不正なスクリプトが実行され、アカウント情報が盗まれたり、意図しない操作をさせられたりする可能性があります。
  • 推奨される対策: 直ちにプラグインを最新バージョン(1.6.1以降)にアップデートしてください。

WPC Smart Compare for WooCommerce

  • 脆弱性のレベル: 中 (CVSS: 6.4)
  • 脆弱性の簡単な説明: 貢献者(Contributor)以上の権限を持つユーザーにより、DOMベースの格納型クロスサイトスクリプティング(DOM-based Stored XSS)が可能になる脆弱性です。
  • 脆弱性によって起こりうる影響: サイトを訪れたユーザーのブラウザ上で不正なスクリプトが実行され、情報が盗まれたり、マルウェアサイトへリダイレクトされたりする危険性があります。
  • 推奨される対策: 直ちにプラグインを最新バージョン(6.4.8以降)にアップデートしてください。

WPC Smart Quick View for WooCommerce

  • 脆弱性のレベル: 中 (CVSS: 6.4)
  • 脆弱性の簡単な説明: woosq_btn ショートコードを介して、貢献者(Contributor)以上の権限を持つユーザーが悪意のあるスクリプトを保存できてしまう格納型クロスサイトスクリプティング(Stored XSS)の脆弱性です。
  • 脆弱性によって起こりうる影響: サイト訪問者や管理者のブラウザで不正なスクリプトが実行され、セッション情報が盗まれるなどの被害に繋がる可能性があります。
  • 推奨される対策: 直ちにプラグインを最新バージョン(4.2.2以降)にアップデートしてください。

Kalium 3 | Creative WordPress & WooCommerce Theme (修正パッチ非対応)

  • 脆弱性のレベル: 中 (CVSS: 5.3)
  • 脆弱性の簡単な説明: 権限チェックが不十分である(Missing Authorization)という脆弱性です。
  • 脆弱性によって起こりうる影響: 権限のないユーザーが、本来許可されていない操作を実行できてしまう可能性があります。これにより、意図しない設定変更や情報漏洩が発生する恐れがあります。
  • 推奨される対策: この脆弱性に対する修正パッチはまだ提供されていません。テーマの使用を停止し、開発者からの情報を待つか、代替テーマへの切り替えを検討してください。

WC Plus (修正パッチ非対応)

  • 脆弱性のレベル: 中 (CVSS: 5.3)
  • 脆弱性の簡単な説明: 認証されていないユーザーがプラグインの設定を不正に変更できてしまう、認証・認可制御の不備です。
  • 脆弱性によって起こりうる影響: 攻撃者がサイトの設定を不正に変更し、サイトの表示やECサイトとしての機能を妨害する可能性があります。
  • 推奨される対策: この脆弱性に対する修正パッチは提供されていません。プラグインを無効化して削除し、代替プラグインの利用を検討してください。

Risk Free Cash On Delivery (COD) – WooCommerce (修正パッチ非対応)

  • 脆弱性のレベル: 中 (CVSS: 4.4)
  • 脆弱性の簡単な説明: 管理者権限を持つユーザーが、意図せず悪意のあるスクリプトを保存・実行してしまう可能性がある格納型クロスサイトスクリプティング(Stored XSS)の脆弱性です。
  • 脆弱性によって起こりうる影響: 管理者自身が被害に遭う可能性があります。もし他の管理者アカウントが侵害された場合、サイト全体が危険に晒される可能性があります。
  • 推奨される対策: この脆弱性に対する修正パッチは提供されていません。プラグインを無効化して削除し、代替プラグインの利用を検討してください。

Ni WooCommerce Customer Product Report (修正パッチ非対応)

  • 脆弱性のレベル: 中 (CVSS: 4.3)
  • 脆弱性の簡単な説明: ログインしているユーザーであれば誰でも(購読者権限でも)、プラグインの設定を変更できてしまう権限チェックの不備です。
  • 脆弱性によって起こりうる影響: 権限の低いユーザーアカウントを乗っ取った攻撃者が、レポート設定などを不正に変更し、サイトの運営を妨害する可能性があります。
  • 推奨される対策: この脆弱性に対する修正パッチは提供されていません。プラグインを無効化して削除し、代替プラグインの利用を検討してください。

一般的なセキュリティ対策

  • 常に最新の状態を保つ: WordPress本体、テーマ、すべてのプラグインを常に最新バージョンにアップデートしてください。
  • 不要なプラグインの削除: 使用していないプラグインやテーマは削除しましょう。
  • 強力なパスワードの使用: 管理者アカウントには推測されにくい、複雑なパスワードを設定してください。
  • セキュリティプラグインの導入: Wordfenceのようなセキュリティプラグインを導入し、設定を適切に行ってください。
  • 定期的なバックアップ: サイトのデータを定期的にバックアップし、問題が発生した場合に復元できるようにしておきましょう。
  • ユーザー権限の見直し: 各ユーザーアカウントに必要最小限の権限のみを付与してください。

免責事項

この記事は、提供されたWordfenceのレポートテキストに基づいて作成された概要です。脆弱性の詳細や正確な情報については、必ず元のレポートやプラグイン開発元の情報をご確認ください。プラグインのアップデートや削除は、ご自身の責任において実施してください。事前にバックアップを取得することを強く推奨します。

セキュリティー対策 for WooCommerce(日本セキュリティガイドライン対応)

セキュリティー対策 for WooCommerce(日本セキュリティガイドライン対応)

WooCommerce サイトに対して最適な保守を行います。

定期購入費用が最低価格: ¥3,300 税込 / 3ヶ月 継続期間 12ヶ月と登録費用が¥11,000
今すぐショッピング