2024年下半期 WordPressプラグイン脆弱性まとめ

2024年下半期はいくつかのプラグインで、脆弱性が報告されています。2024年10月~2025年3月に発表されたJVNの公開情報に基づいて、WordPressプラグイン脆弱性情報をまとめてお伝えします。

2024年下半期 WordPressプラグイン脆弱性まとめ

JVNとは?

日本で利用されているソフトウェアの脆弱性について、情報と対策を発信しているポータルサイト「JVN」は、Japan Vulnerability Notesの略称でIPA(独立行政法人情報処理推進機構)とJPCERT コーディネーションセンターが共同運営しています。

JVNの公開情報に基づいて、2024年下半期のWordPressプラグインに絞り込んで紹介します。(2024/10~2025/3 最新順)

Simple Image Sizes

2025/01/28公開

Raheが提供するWordPress用プラグインSimple Image Sizesには、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

CVE-2025-24810

  • Simple Image Sizes 3.2.3およびそれ以前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

My WP Customize Admin/Frontend

2024/12/13公開

WordPress用プラグインMy WP Customize Admin/Frontendには、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

CVE-2024-55864

  • My WP Customize Admin/Frontend ver 1.24.1より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

WP Admin UI Customize

2024/11/26公開

WordPress用プラグインWP Admin UI Customizeには、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

CVE-2024-53278

  • WP Admin UI Customize ver 1.5.14より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

VK All in One Expansion Unit

2024/11/13公開

WordPress用プラグインVK All in One Expansion Unitには、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

CVE-2024-52268

  • VK All in One Expansion Unit 9.100.1.0より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

WordPressとは何か基本を知る

WordPressは世界中で最も多く利用されている無料CMSです。WordPressとは何か?メリット・デメリット、どんな方に向いているか?など基本について解説しています。

詳しくはWordPressとは?ページへ

WordPressとは(ワードプレスとは)
ワードプレス WordPressとは:初心者もブログ・ホームページを無料作成できる

ブログを始めたい時、ホームページやランキングサイトを無料で作りたい時「0円で使えて、お洒落なブログやかっこいいサイト・ホームページが簡単に作れて、機能も追加出来て、検索エンジン上位表示も対応して、自分 ...

続きを見る

まとめ

2024年下半期のWordPressプラグインの脆弱性報告は少なめでしたが、特定のベンダーの製品に脆弱性が集中する傾向が見られました。特に、Schneider ElectricとRockwell Automationの複数の製品において、多数の脆弱性報告が確認できます。
Webアプリケーションの脆弱性としては、WordPressプラグインにおけるクロスサイトスクリプティング(XSS)の脆弱性が依然として多く報告されています。カスタマイズ系やUI系のプラグインで特に目立つ傾向があり、Webサイト運営者にとって継続的な警戒が必要であることが示唆されます。

全体として、この期間は広範な製品分野で多様な脆弱性が報告されており、特定の種類の脆弱性に偏るというよりは、製品ごとの特性に応じた様々なセキュリティ上の課題が存在していると言えるでしょう。日々のセキュリティ情報に注意しながら、確実な運用を心がけましょう。

記事作成者プロフィール

佃 直毅
佃 直毅
株式会社ストレン 社長
資格など:情報セキュリティマネジメント
SEO検定1級、2級知的財産管理技能士
G検定(JDLA Deep Learning for GENERAL 2025#1)
ネットショップ実務士レベル2
おすすめ情報サイト「マイベスト」レンタルサーバー・ドメイン監修

当サイトは10年以上のホスティング経験からレンタルサーバー・ドメイン・ワードプレステーマを中立の視点から比較評価し始める・切り替える方の立場に立った情報をお届けします。

【仕事略歴】早稲田大商卒。東証一部精密機器メーカー、レコード会社を経て2000年 動画配信レンタルサービス「ストレン」起業、マイクロソフト認定パートナーとしてサーバー構築・運用・PR等に携わる。
2015年、東証グロース上場企業・お客様と合意の上、上場企業へユーザー移行後に同ビジネス終了、以降はITコンサルティングとして支援に。