【2025年08月度WordPressセキュリティ情報】Advanced Custom Fields (ACF) 6.4.3がリリース。格納型XSSの脆弱性を修正
2025年8月、WordPressプラグイン「Advanced Custom Fields (ACF)」および「ACF Pro」に、格納型クロスサイトスクリプティング(Stored XSS)の脆弱性が存在することが公表されました。
開発元はすでに対策版であるバージョン6.4.3をリリースしています。ご自身のサイトで対象バージョンを利用していないかご確認の上、速やかなアップデートを推奨いたします。
ご利用中のACFバージョンの確認方法
ご利用中のバージョンは、以下の手順で確認できます。
- WordPressのダッシュボードにログインします。
- 左メニューの「プラグイン」→「インストール済みプラグイン」をクリックします。
- プラグインの一覧から「Advanced Custom Fields」または「Advanced Custom Fields Pro」を探し、バージョン番号を確認します。
もしバージョン番号の横に「バージョン6.4.3が利用できます。今すぐ更新してください。」といった通知が表示されている場合は、脆弱性の影響を受けるバージョンです。
今回の脆弱性の概要:格納型クロスサイトスクリプティング(Stored XSS)
今回の脆弱性は「格納型クロスサイトスクリプティング(Stored XSS)」と呼ばれる種類のものです。これは、攻撃者がWebサイトのデータベースに悪意のあるスクリプトを保存させ、そのページを閲覧した他のユーザーのブラウザ上でスクリプトを実行させる攻撃手法です。
影響を受けるプラグインとバージョン
今回の脆弱性の影響を受ける製品とバージョンは以下の通りです。
| プラグイン名 | 影響を受けるバージョン | 対策済みバージョン |
|---|---|---|
| Advanced Custom Fields (ACF) | 6.4.2 およびそれ以前 | 6.4.3 |
| Advanced Custom Fields Pro (ACF Pro) | 6.4.2 およびそれ以前 | 6.4.3 |
脆弱性の詳細と潜在的なリスク
この脆弱性は、サイトにコンテンツを投稿できる「投稿者」以上の権限を持つ攻撃者によって悪用される可能性があります。悪意のあるスクリプトがサイト管理者のブラウザ上で実行された場合、管理者アカウントのセッション情報が窃取され、結果として管理者権限が乗っ取られるなどの被害に繋がる可能性があります。
公式発表とJVNの勧告について
本脆弱性に関する情報は、開発元の公式サイトおよび日本の脆弱性対策情報ポータルサイト「JVN」でも公開されています。
- ACF公式サイトの発表: ACF 6.4.3 Security Release
- JVNの発表: JVN#21048820: Advanced Custom Fields および Advanced Custom Fields Pro におけるクロスサイトスクリプティングの脆弱性
「アップデート作業が不安」「継続的な脆弱性管理を任せたい」方へ
WordPressの保守・管理を専門家に委託するという選択肢
「アップデートボタンを押したら、サイトが表示されなくなったらどうしよう…」「毎月のように発表される脆弱性情報を、自社だけで追い続けるのは限界だ」――。サイトの安全を維持するための保守作業は、時に専門知識と多大なリソースを要します。
私たちWP保守工房は、貴社に代わって、WordPressサイトの面倒な更新・保守作業をすべて代行します。脆弱性情報を常時監視し、互換性を確認した上で、専門家が安全・確実にアップデートを実施。万が一の不具合にも迅速に対応します。
迅速なアップデート対応の重要性
今回は、非常に多くのサイトで利用されているプラグイン「Advanced Custom Fields (ACF)」の脆弱性についてお伝えしました。幸い、すでに対策版がリリースされています。WordPressサイトを安全に運営するためには、今回のような脆弱性情報をいち早くキャッチし、迅速に対応することが何よりも重要です。
WordPressに関するお悩みは、まずは私たちにご相談ください。
- WordPressサイトに関するあらゆる作業に対応可能
- 大規模サイトでもお任せ下さい! 対応実績多数
- 15年のWP対応実績 + 全ての作業を自社エンジニアで対応
ご相談・お見積はすべて無料です。まずは課題やご要件をお聞かせください。
ご相談フォーム
