- SERVICE
セキュアな Web サイト制作サービス
- WORKS
- ABOUT US
- NEWS & COLUMN
- IR
- RECRUIT
皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。
本記事はSecure Custom Fieldsのバージョンと脆弱性への対応状況についてまとめたもので、2026年4月17日に改訂しています。
Secure Custom Fieldsは、WordPressサイトの管理画面にカスタムフィールドを簡単に追加・管理できるプラグインであり、WordPress.org及びコミュニティによって開発・サポートされています。
元々は、Advanced Custom FieldsというプラグインをWP Engine社が開発・サポートしていたのですが、WP Engine社とWordPressのホスティングサービス(WordPress.com)を提供しているAutomattic社の関係悪化から、2024年10月頃、WordPress公式サイト(WordPress.org)におけるAdvanced Custom FieldsのPlugin Directoryが、WordPress.orgが開発・サポートをするSecure Custom Fieldsに変更されました。
一方で、Advanced Custom Fieldsの開発・サポートをしているWP Engine社は、Advanced Custom Fieldsの公式サイト上で開発とサポートを継続すると公表しており、現在でもSecure Custom Fieldsとは別にアップデートをしています。
この時点での、Secure Custom FieldsとAdvanced Custom Fieldsの関係をまとめると、次のようになります。
| プラグイン名称 | 開発・サポート組織 | 公式サイト | 説明 |
| Advanced Custom Fields | WP Engine社 | https://www.advancedcustomfields.com/ | 本家本元のAdvanced Custom Fields |
| Secure Custom Fields | WordPress.org | https://ja.wordpress.org/plugins/advanced-custom-fields/ | Advanced Custom Fieldsのフォーク |
その後、2024年12月10日に、カリフォルニア北部地区連邦地方裁判所において、WPEngineからAutomatticに対する仮差止命令が出されたようです。
この仮差し止め命令処分判決により、両社が訴訟を継続している間は2024年9月20日以前の状態が維持されることになったとのこと。
※当社はアメリカの司法手続きについては詳しくない為、詳細については、こちらのGigaZINEの記事をご確認ください。
その結果、Secure Custom Fieldsに変更されていたAdvanced Custom Fields のPlugin Directoryは、元通りAdvanced Custom Fieldsに戻り、Secure Custom Fieldsは別のPlugin Directoryを開設した模様です。
2026年4月17日時点での、Advanced Custom FieldsとSecure Custom Fieldsの関係をまとめると、次のようになります。
| プラグイン名称 | 開発・サポート組織 | 公式サイト | 説明 |
| Advanced Custom Fields | WP Engine社 | https://www.advancedcustomfields.com/ https://ja.wordpress.org/plugins/advanced-custom-fields/ |
本家のAdvanced Custom Fields |
| Secure Custom Fields | WordPress.org | https://wordpress.org/plugins/secure-custom-fields/ | Advanced Custom Fieldsのフォーク |
Secure Custom Fields は、世界的に有名なプラグインであるAdvanced Custom Fieldsのフォークではありますが、この一連の騒動も含めて、非常に知名度の高いプラグインであると言えるかもしれません。
一方で、知名度の高いプラグインであるため、攻撃対象になりやすい側面もあることから、クライアントから脆弱性に関する質問を受けることがよくあります。
今回の分裂により、今後バージョンアップも二つに分かれていくことになり、影響は非常に大きなものであると考えられます。
この記事では、企業のWeb担当の皆様に向けて、Secure Custom Fieldsの概要並びに、脆弱性及びその対応状況をご紹介することで、セキュリティ面ではSecure Custom Fieldsを安心して使用していただけるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
Secure Custom Fieldsとは
前述の通り、Secure Custom Fieldsは、WordPress.org及びコミュニティが開発・サポートを継続している、オープンソースのWordPress向けプラグインです。
Secure Custom Fieldsは、WordPressの投稿ページや固定ページ、カテゴリ、コメント欄などへ入力欄(フィールド)を追加し管理できるプラグインであり、特定のコンテンツにデータを簡単に組み込むことができるようになります。
また、直感的なUIでの実装が可能で、運用段階でも使用しやすいことが特長です。
Secure Custom Fieldsのフィールドタイプとレイアウト調整機能
| 基本フィールド |
テキストや数値、メールアドレス、URLなど、基本的な情報を入力・管理するためのフィールドです。 主な種類は「Text」「Textarea」「Number」「Range」「Email」「URL」「Password」です。 |
| コンテンツフィールド |
画像やギャラリー、ファイル、WYSIWYG エディタ、oEmbed など、コンテンツ制作やメディア管理に関する情報を扱うフィールドです。 主な種類は「Image」「Gallery」「File」「WYSIWYG」「oEmbed」です。 |
| 選択肢フィールド |
選択式の入力項目を追加・管理できるフィールドです。 主な種類は「Select」「Checkbox」「Radio」「Button Group」「True / False」です。 |
| 関連フィールド |
投稿や固定ページ、タクソノミー、ユーザーなど、WordPress 内の他の情報と関連付けて入力・管理できるフィールドです。 主な種類は「Post Object」「Page Link」「Taxonomy」「User」「Link」などがあります。 |
| Advancedフィールド |
日付や時刻、色、位置情報など、より高度なデータを扱うためのフィールドです。 主な種類は「Date Picker」「Date / Time Picker」「Time Picker」「Color Picker」「Google Map」「Icon Picker」です。 |
| レイアウト調整機能 |
入力項目を整理し、管理画面を見やすく使いやすくするための機能です。 主な種類は「Group」「Repeater」「Flexible Content」「Clone」「Tab」「Accordion」「Message」「Separator」で、用途に応じて柔軟な入力画面を構築できます。 |
開発・アップデートの継続
前述のように、有名なプラグイン(ダウンロード数が多いプラグイン)は、攻撃のターゲットとして狙われやすいという側面があります。
当社では、WordPress自体は非常に堅牢なCMSであり、バージョンアップをしっかりと行えば大きな侵入のリスクは少ないと考えています。
実際に、WordPress本体(コア)の脆弱性の数はプラグインやテーマに比べて少なく、特に最近では緊急レベルの脆弱性報告は減少しています。
※詳細は、当社が公表しているWordPressの脆弱性情報一覧を参照してください。
一方で、膨大な数のプラグインやアドオンが存在し、それらの脆弱性を狙った攻撃が増加しています。
※Patchstackの「State of WordPress Security 2026」によれば、2025年に報告されたWordPress関連の脆弱性全11,334件のうち、91%がプラグイン、9%がテーマに起因し、WordPressコア由来は少数(6件)にとどまっています。
WordPressはコア(本体)のバージョンアップをすることが大事という点は変わりませんが、コア(本体)だけバージョンアップしてればよいわけではない点に注意が必要です。
特に、Secure Custom Fieldsのような有名なプラグインは、多くのユーザーに利用されているため狙われる傾向にあります。
そのため、当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントに推奨していません。
Secure Custom Fieldsについては、定期的にバージョンアップがなされていること、また、過去脆弱性が見つかっていますが、WordPress.orgによって脆弱性にも迅速に対応されていることから、2026年4月17日現在、最新バージョンを使用している限りはセキュリティ面でのリスクは少ないと考えております。
Secure Custom Fieldsのバージョン情報に関するポイント
公式サイトに直接的な記載はありませんが、Secure Custom Fieldsは、通常のセマンティックバージョニングに近いバージョニングを採用しており、左からメジャーバージョン、マイナーバージョン、パッチバージョンの3つの数字で構成されています。
なお、一部のバージョンでは4桁目の数字が追加されていますが、これはセマンティックバージョニングの定義に従ったビルドメタデータやプレリリースではなく、追加の修正や同一日に複数のリリースを行った際に適用される、独自のバージョニング方式であると考えられます。
2026年4月17日現在、Secure Custom Fieldsの最新バージョンは6.8.2であり、WordPress 6.9.4までテストされています。
通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)対象は最新パッチバージョンのみであり、最新パッチバージョンへのアップデートを推奨いたします。
Secure Custom Fieldsのバージョン情報
2026年4月17日現在での、Secure Custom Fieldsのバージョン情報は次の通りです(beta版については省略しています)。
| バージョン | リリース日 | サポート期限 | 修正された脆弱性 |
| 6.8.2 | 2026年3月24日 | サポート中 | - |
| 6.8.1 | 2026年3月11日 | 2026年3月24日 | - |
| 6.8.0 | 2025年12月30日 | 2026年3月11日 | - |
| 6.3.6.3 | 2024年10月15日 | 2024年10月22日 | CVE-2024-49593 CVE-2024-9529 |
| 6.3.6.2 | 2024年10月12日 | 2024年10月15日 | - |
| 6.3.6 | 2024年8月28日 | 2024年10月7日 | CVE-2024-45429 |
| 6.3.0 | 2024年5月22日 | 2024年6月4日 | CVE-2024-4565 |
| 6.2.5 | 2024年1月16日 | 2024年2月6日 | CVE-2023-6701 |
| 6.1.8 | 2023年8月3日 | 2023年8月9日 | CVE-2023-40068 |
| 6.1.6 | 2023年5月4日 | 2023年6月27日 | CVE-2023-30777 |
| 6.1.0 | 2023年4月3日 | 2023年4月3日 | CVE-2023-1196 |
| 6.0.3 | 2022年10月18日 | 2022年11月8日 | CVE-2022-40696 |
| 5.12.5 | 2023年4月4日 | 2023年5月4日 | CVE-2023-1196 |
| 5.12.3 | 2022年7月14日 | 2022年10月18日 | CVE-2022-2594 |
| 5.12.1 | 2022年3月23日 | 2022年4月6日 | CVE-2022-23183 |
| 5.11 | 2021年11月10日 | 2021年11月18日 | CVE-2021-20867 CVE-2021-20866 CVE-2021-20865 |
| 5.8.12 | 2020年6月10日 | 2020年8月10日 | CVE-2020-36172 |
| 5.7.8 | 2018年12月7日 | 2018年12月17日 | CVE-2018-20986 |
※各バージョンのリリース日については、WordPress公式サイトの開発ログの情報に基づいています。
※上記の内容は、バージョン6.8.0までと、公表された脆弱性の影響が確認されている最終のバージョン(6.3.6.2)までを掲載しています。また、それ以前のバージョンについては、下記脆弱性が修正されたバージョンを追記しています。
※バージョン6.3.6.2以下には既知の脆弱性が存在するため、グレーにしています。
Secure Custom Fieldsの脆弱性情報
Secure Custom Fieldsの最新バージョンは6.8.2であり、当社が把握している全ての脆弱性に修正対応済みとなっています。
また、Secure Custom Fields 6.3.6.2以下のバージョンをご使用の場合には、既知の脆弱性が存在する可能性がありますので、最新バージョンへとアップデートをしてください。
Secure Custom Fields自体に関する脆弱性情報で、当社が把握しているものは次の通りです。
| 脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
| CVE-2024-49593 CVE-2024-49593 detail |
CVSS v3 4.4 (警告) |
・Secure Custom Fields 6.3.6.2までのバージョン | ・Secure Custom Fields 6.3.6.3 |
| CVE-2024-9529 CVE-2024-9529 Detail |
CVSS v3 5.1 (警告) |
・Secure Custom Fields 6.3.6.2までのバージョン | ・Secure Custom Fields 6.3.6.3 |
| CVE-2024-45429 JVNDB-2024-000093 |
CVSS v3 5.4 (警告) |
・Advanced Custom Fields 6.3.5までのバージョン | ・Advanced Custom Fields 6.3.6 |
| CVE-2024-4565 JVNDB-2024-004371 |
CVSS v3 6.5 (警告) |
・Advanced Custom Fields 6.2.10までのバージョン | ・Advanced Custom Fields 6.3 |
| CVE-2023-40068 JVNDB-2023-000084 |
CVSS v3 5.4 (警告) |
・Advanced Custom Fields 6.1.0 から 6.1.7 | ・Advanced Custom Fields 6.1.8 |
| CVE-2023-30777 JVNDB-2023-010231 |
CVSS v3 6.1 (警告) |
・Advanced Custom Fields 6.1.5までのバージョン | ・Advanced Custom Fields 6.1.6 |
| CVE-2023-6701 JVNDB-2023-025942 |
CVSS v3 5.4 (警告) |
・Advanced Custom Fields 6.2.4までのバージョン | ・Advanced Custom Fields 6.2.5 |
| CVE-2023-1196 JVNDB-2023-026740 |
CVSS v3 8.8 (重要) |
・Advanced Custom Fields 6.0.0から6.0.7 ・Advanced Custom Fields 5.0.0から5.12.4 |
・Advanced Custom Fields 6.1.0 Advanced Custom Fields 5.12.5 |
| CVE-2022-40696 JVNDB-2022-025004 |
CVSS v3 7.5 (重要) |
・Advanced Custom Fields 3.1.1から6.0.2 | ・Advanced Custom Fields 6.0.3 |
| CVE-2022-23183 JVNDB-2022-000023 |
CVSS v3 6.5 (警告) |
・Advanced Custom Fields 5.12までのバージョン | ・Advanced Custom Fields 5.12.1 |
| CVE-2022-2594 JVNDB-2022-017104 |
CVSS v3 8.8 (重要) |
・Advanced Custom Fields 5.12.2までのバージョン | ・Advanced Custom Fields 5.12.3 |
| CVE-2021-20867 JVNDB-2021-000109 |
CVSS v3 4.3 (警告) |
・Advanced Custom Fields 5.10.2までのバージョン | ・Advanced Custom Fields 5.11 |
| CVE-2021-20866 JVNDB-2021-000109 |
CVSS v3 4.3 (警告) |
・Advanced Custom Fields 5.10.2までのバージョン | ・Advanced Custom Fields 5.11 |
| CVE-2021-20865 JVNDB-2021-000109 |
CVSS v3 4.3 (警告) |
・Advanced Custom Fields 5.10.2までのバージョン | ・Advanced Custom Fields 5.11 |
| CVE-2020-36172 JVNDB-2020-015419 |
CVSS v3 6.1 (警告) |
・Advanced Custom Fields 5.8.11までのバージョン | ・Advanced Custom Fields 5.8.12 |
| CVE-2018-20986 JVNDB-2018-016014 |
CVSS v3 5.4 (警告) |
・Advanced Custom Fields 5.7.7 | ・Advanced Custom Fields 5.7.8 |
※Secure Custom FieldsはAdvanced Custom Fields 6.3.6.1以降に分岐したフォークです。そのため、6.3.6以下の脆弱性についてはAdvanced Custom Fieldsとして記載しています。
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。CVSS v3の適用前の脆弱性情報についてはCVSS v2に基づいて記載しています。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)に準拠しています。JVN、NVDにてスコアリングされていない脆弱性情報についてはWordfenceのスコアに準拠しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。
Secure Custom Fieldsのバージョンアップを継続する体制について
前述のように、Secure Custom Fieldsは世界的に有名なプラグインであり、Web制作の現場でWordPressを利用する場合には、よくお世話になるプラグインです。
しかしながら、Secure Custom Fields自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。
また、Advanced Custom FieldsとSecure Custom Fieldsに分かれたことで、そもそもどちらのプラグインを使用すべきかという選択を迫られるだけでなく、それぞれに脆弱性への対応が変わってくることになり、アップデートにも気を付ける必要があります。
taneCREATIVE株式会社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、WordPressはもちろんのこと、PHP、MySQL、MariaDBについてもノウハウを有しています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
- この記事を書いた存在
- ちほうタイガー
taneCREATIVEに所属する謎のトラ。
- Advanced Custom FieldsとSecure Custom Fieldsの分裂でこの記事を書くことになった。
しかし、今後どちらをクライアントに勧めるべきか…悩ましい…。
2026年4月17日改訂
2025年7月30日改訂
2024年12月23日改訂
2024年10月18日執筆
