WordPressプラグイン「File Manager for Google Drive」に認証情報漏洩の脆弱性

WordPressとGoogle Driveを連携するプラグイン「File Manager for Google Drive – Integrate Google Drive with WordPress」のバージョン 1.5.3 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。

この脆弱性により、ログインしていない訪問者でもGoogle Driveの認証情報が取得可能な状態でした。対策バージョン 1.5.4 以降への更新を強く推奨します。

想定される事象

想定される被害

この脆弱性により、以下のような被害が想定されます。

認証情報の漏洩
- ログイン不要で、Google OAuth認証情報（クライアントIDとクライアントシークレット）が取得可能
- Google Driveアカウントのメールアドレスが取得可能
漏洩した情報の悪用リスク
- 取得した認証情報を使用して、サイトが連携しているGoogle Driveへの不正アクセスが行われる可能性
- Google Drive内のファイルやフォルダの閲覧、操作が行われる可能性

技術的な詳細

この脆弱性は、以下の問題に起因します。

フロントエンドへの機密情報出力
1. プラグインがWebページに埋め込むデータを準備する処理において、本来は管理画面でのみ必要な機密情報を、フロントエンドページ用のデータにも含めていた
2. 修正前は、Google Driveアカウント情報と認証情報を常にデータに含めていた
3. 修正後は、管理画面、Elementorエディター、Diviビルダーでの使用時のみ、これらの情報を含めるように変更された
エンコードの問題
- 情報は形式的にエンコード（変換）されているが、これは暗号化ではなく、簡単に元に戻すことが可能

脆弱性の種類

CWE-200 情報漏えい

推奨対応事項

該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。

プラグインの更新（最優先）
- プラグインを対策バージョン（1.5.4以降）に速やかに更新してください
認証情報の再発行
- Google Cloud Consoleにアクセスし、OAuth認証情報（クライアントIDとシークレット）を新しく作り直す
- 古い認証情報を無効化することで、すでに漏洩した可能性のある情報の悪用を防止
- プラグインの設定画面で新しい認証情報を再設定
Google Driveの確認
- 連携しているGoogle Driveで不審な動き（予期しないファイルへのアクセスや変更）がないか確認
- Google Driveの「マイドライブ」内のアクティビティ履歴を確認

⇒不審なアクセス履歴やファイル操作が確認された場合は、WordPressやGoogle Driveのセキュリティ専門家への相談をお勧めします。

影響を受けるバージョン

File Manager for Google Drive 1.5.3 までのすべてのバージョン

脆弱性情報 (CVE-ID)

CVE-2025-12139
（公開日 2025年11月5日更新日 2025年11月5日）

脆弱性の深刻度 (CVSS v3)

基本値: 7.5 (重大) 　[Wordfence]

脆弱性脅威度(EPSS)

CVE-2025-12139 悪用確率 34.28% （上位3%） 2026年1月7日時点

（今後30日以内に悪用される確率 )

参考　

File Manager for Google Drive – Integrate Google Drive with WordPress <= 1.5.3 – Unauthenticated Sensitive Information Exposure

ソフトウェア脆弱性情報の著作権に関する注意事項

This record contains material that is subject to copyright.

License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.

License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.

「WordPressセキュリティ保守」をご利用のお客様へ

「Support」、「Technical」、「Customer」、「Service」の文字と技術的なWordPress顧客サポート

WordPress運用保守

さらに詳しく

File Manager for Google Drive プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。

WordPress プラグイン File Manager for Google Drive 情報（2026年1月8日取得）

最新版バージョン	1.5.5
対象 WordPress バージョン	5.0 またはそれ以降検証済み最新バージョン : 6.8.3
有効インストール数	8,000+
関連ページ	プラグインページホームページ