【2026年5月版】Redux Frameworkのバージョンと脆弱性情報

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

本記事はRedux Frameworkのバージョンと脆弱性への対応状況についてまとめたもので、2026年5月15日に執筆しています。

Redux Frameworkは、WordPressテーマ・プラグイン向けのオプション画面・設定パネル構築フレームワーク型プラグインであり、David AndersonさんとTeam Updraft （UPDRAFT WP SOFTWARE LIMITED）によってサポートされています。

WordPressのPlugin Directoryの統計情報によると、アクティブインストールは100万以上、総ダウンロード数は3196万回以上を計測しており、世界的にも有名なプラグインの一つと言ってよいでしょう。

一方で、人気が高いほど攻撃対象になるリスクもあるため、脆弱性への適切な対応が重要になります。
実際にRedux Frameworkの脆弱性は過去見つかっており、迅速に対応されています。

この記事では、企業のWeb担当の皆様に向けて、Redux Frameworkの概要並びに、脆弱性及びその対応状況をご紹介することで、Redux Framework自体については安心して使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

前述の通り、Redux Frameworkは、WordPressテーマ・プラグイン向けのオプション画面・設定パネル構築フレームワーク型プラグインです。単体ではなく、テーマやプラグイン側の設定ファイルと組み合わせて使います。

WordPress Settings APIを土台に、多数のフィールド、検証、インポート・エクスポート機能などを備え、管理画面をゼロから作らず短期間で実装することができることから、広く利用されています。

一方で、利用者の多いプラグインは、攻撃のターゲットにされる可能性があるため、当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントにお勧めしていません。

Redux Frameworkについては、定期的にバージョンアップがされており、かつ最新バージョンでは未修正の脆弱性情報が公表されていないことから、2026年5月15日現在、最新バージョンを使用していれば、セキュリティ面でのリスクは少ないと考えております。

通常のオープンソースソフトウェアでは、公式のサポート（新機能の追加、不具合の改修、セキュリティパッチの提供）対象は最新パッチバージョンのみであり、最新パッチバージョンへのアップデートを推奨いたします。

2026年5月15日現在での、Redux Frameworkのバージョン情報は次の通りです。

※各バージョンのリリース日については、WordPress公式サイトの開発ログの情報に基づいています。
※上記の内容は、バージョン4.5.8までを掲載しています。また、4.5.8以前のバージョンについては、下記脆弱性が修正されたバージョンを追記しています。
※バージョン4.5.8以下には既知の脆弱性が存在するため、グレーにしています。

Redux Frameworkの最新バージョンは4.5.11であり、当社が把握している全ての脆弱性に修正対応済みとなっています。

また、Redux Framework 4.5.8以下のバージョンをご使用の場合には、既知の脆弱性が存在する可能性がありますので、最新バージョンへのアップデートをお勧めします。

Redux Framework自体に関する脆弱性情報で、当社が把握しているものは次の通りです。

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures（本記事では「CVE」とします）の順序に従って掲載しています。CVEの採番がされていない脆弱性情報については、Wordfenceへのリンクを掲載してあります。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急（9.0～10.0）、重要（7.0～8.9）、警告（4.0～6.9）に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。CVSS v3の適用前の脆弱性情報についてはCVSS v2に基づいて記載しています。
※深刻度の数値はJapan Vulnerability Notes（本記事では「JVN」とします）及び、JVNが評価を合わせている米国国立標準技術研究所（NIST）が運営する脆弱性データベースであるNational Vulnerability Database（以下「NVD」）に準拠しています。JVN、NVDにてスコアリングされていない脆弱性情報についてはWordfenceのスコアに準拠しています。
※CVE-2021-38314の影響範囲については、NDVでは4.2.11までとなっていますが、Wordfenceでは影響範囲を4.2.11までとしつつも、修正バージョンを4.2.13としており、4.1.12の扱いについて分かりにくい状態です。当該脆弱性は、未認証で叩けるAJAXアクションからPHPバージョン、プラグイン一覧、AUTH_KEY/SECURE_AUTH_KEY由来のMD5ハッシュなどが取得できる脆弱性ですが、4.2.12ではその一連の未認証AJAX登録が消えており、また、redux_support_hashも「Disabled」としてコメントアウトされていることから、当該脆弱性の影響範囲はNVDの公表通り「4.2.11まで」であると当社では考えております。一方で、WordfenceやWPScanでは修正バージョンを4.2.13としていることから、当社では把握できていない脆弱性が4.2.12まで残っていた可能性があります。そこで本記事では修正バージョンを4.2.13として掲載してあります。また、CVE-2021-38312の影響範囲についても類似の差異が認められますが、CHANGELOGを読む限り、当該脆弱性の影響範囲はNVDの公表通り「4.2.11まで」であると当社では考えております。一方で、WordfenceやWPScanでは修正バージョンを4.2.13としていることから、本記事では同様の理由で修正バージョンを4.2.13として掲載してあります。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

前述のように、Redux Frameworkは世界的にも人気のあるプラグインであり、Web制作の現場でWordPressを利用する場合には、お世話になる確率が高いプラグインです。

しかしながら、Redux Framework自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。