【2023年9月】WordPress脆弱性情報＆注目ニュース まとめ｜「MW WP FORM」開発中止など

2023年9月度のWordPress脆弱性情報

2023年9月度に発見された脆弱性をご紹介します。
今月はWordPressプラグインに関する脆弱性が25個発見されました。

自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデートを行いましょう。

• 名前：WooCommerce
• 脆弱性：機密情報漏えい
• 深刻度：警告
• 影響を受けるバージョン: WooCommerce <= 7.8.2
• 修正済みバージョン：WooCommerce 7.9.0

• 名前：EWWW Image Optimizer
• 脆弱性：機密情報漏えい
• 深刻度：警告
• 影響を受けるバージョン: EWWW Image Optimizer < 7.2.1
• 修正済みバージョン：EWWW Image Optimizer 7.2.1

• 名前：Essential Addons for Elementor
• 脆弱性：特権昇格
• 深刻度：重要
• CVE: CVE-2023-41955
• 影響を受けるバージョン: Essential Addons for Elementor <= 5.8.8
• 修正済みバージョン：Essential Addons for Elementor 5.8.9

• 名前：Enable Media Replace
• 脆弱性：PHPオブジェクトインジェクション
• 深刻度：警告
• 影響を受けるバージョン: Enable Media Replace <= 4.1.2
• 修正済みバージョン：Enable Media Replace 4.1.3

• 名前：GTranslate
• 脆弱性：クロスサイトスクリプティング（XSS）
• 深刻度：注意
• 影響を受けるバージョン: GTranslate <= 3.0.3
• 修正済みバージョン：GTranslate 3.0.4

• 名前：ShortPixel Image Optimizer
• 脆弱性：PHPオブジェクトインジェクション
• 深刻度：警告
• 影響を受けるバージョン: ShortPixel Image Optimizer <= 5.4.1
• 修正済みバージョン：ShortPixel Image Optimizer 5.4.2

• 名前：FluentForm
• 脆弱性：アクセス制御の不備
• 深刻度：重要
• CVE: CVE-2023-41952
• 影響を受けるバージョン: FluentForm <= 5.0.8
• 修正済みバージョン：FluentForm 5.0.9

• 名前：Ad Inserter
• 脆弱性：機密情報漏えい
• 深刻度：警告
• CVE: CVE-2023-4645
• 影響を受けるバージョン: Ad Inserter <= 2.7.30
• 修正済みバージョン：Ad Inserter 2.7.31

• 名前：WPvivid Backup and Migration
• 脆弱性：任意のファイル削除
• 深刻度：注意
• CVE: CVE-2023-4274
• 影響を受けるバージョン: WPvivid Backup and Migration <= 0.9.89
• 修正済みバージョン：WPvivid Backup and Migration 0.9.90

• 名前：ProfilePress
• 脆弱性：特権昇格
• 深刻度：重要
• CVE: CVE-2023-41954
• 影響を受けるバージョン: ProfilePress <= 4.13.1
• 修正済みバージョン：ProfilePress 4.13.2

• 名前：Metform Elementor Contact Form Builder
• 脆弱性：機密データ漏えい
• 深刻度：警告
• CVE: CVE-2023-0689
• 影響を受けるバージョン: Metform Elementor Contact Form Builder <= 3.3.1
• 修正済みバージョン：Metform Elementor Contact Form Builder 3.3.2

• 名前：PageLayer
• 脆弱性：クロスサイトスクリプティング（XSS）
• 深刻度：警告
• 影響を受けるバージョン: PageLayer <= 1.7.6
• 修正済みバージョン：PageLayer 1.7.7

• 名前：Slimstat Analytics
• 脆弱性：SQLインジェクション
• 深刻度：警告
• CVE: CVE-2023-4598
• 影響を受けるバージョン: Slimstat Analytics <= 5.0.9
• 修正済みバージョン：Slimstat Analytics 5.0.10

• 名前：GiveWP
• 脆弱性：特権昇格
• 深刻度：警告
• CVE: CVE-2023-41665
• 影響を受けるバージョン: GiveWP <= 2.33.0
• 修正済みバージョン：GiveWP 2.33.1

• 名前：User Feedback
• 脆弱性：クロスサイトスクリプティング（XSS）
• 深刻度：重要
• CVE: CVE-2023-39308
• 影響を受けるバージョン: User Feedback plugin <= 1.0.7
• 修正済みバージョン：User Feedback 1.0.8

• 名前：FileOrganizer
• 脆弱性：任意のファイルダウンロード
• 深刻度：注意
• CVE: CVE-2023-3664
• 影響を受けるバージョン: FileOrganizer <= 1.0.2
• 修正済みバージョン：FileOrganizer 1.0.3

• 名前：wpDiscuz
• 脆弱性：SQLインジェクション
• 深刻度：重要
• 影響を受けるバージョン: wpDiscuz < 7.6.6
• 修正済みバージョン：wpDiscuz 7.6.6

• 名前：Media Library Assistant
• 脆弱性：リモートコード実行
• 深刻度：重要
• CVE: CVE-2023-4634
• 影響を受けるバージョン: Media Library Assistant <= 3.09
• 修正済みバージョン：Media Library Assistant 3.10

• 名前：Booking Calendar
• 脆弱性：クロスサイトスクリプティング（XSS）
• 深刻度：警告
• CVE: CVE-2023-4620
• 影響を受けるバージョン: Booking Calendar <= 9.7.3
• 修正済みバージョン：Booking Calendar 9.7.3.1

• 名前：Booster for WooCommerce
• 脆弱性：クロスサイトスクリプティング（XSS）
• 深刻度：警告
• CVE: CVE-2023-4945
• 影響を受けるバージョン: Booster for WooCommerce <= 7.1.0
• 修正済みバージョン：Booster for WooCommerce 7.1.1

• 名前：Feeds for YouTube
• 脆弱性：クロスサイトスクリプティング（XSS）
• 深刻度：警告
• CVE: CVE-2023-4841
• 影響を受けるバージョン: Feeds for YouTube <= 2.1
• 修正済みバージョン：Feeds for YouTube 2.1.2

• 名前：Form Maker by 10Web
• 脆弱性：任意のファイルアップロード
• 深刻度：重要
• 影響を受けるバージョン: Form Maker by 10Web < 1.15.20
• 修正済みバージョン：Form Maker by 10Web 1.15.20

• 名前：Connect Matomo (WP-Matomo, WP-Piwik)
• 脆弱性：クロスサイトスクリプティング（XSS）
• 深刻度：警告
• CVE: CVE-2023-4774
• 影響を受けるバージョン: Connect Matomo (WP-Matomo, WP-Piwik) <= 1.0.28
• 修正済みバージョン：Connect Matomo (WP-Matomo, WP-Piwik) 1.0.29

• 名前：MapPress Maps for WordPress
• 脆弱性：クロスサイトスクリプティング（XSS）
• 深刻度：警告
• CVE: CVE-2023-4840
• 影響を受けるバージョン: MapPress Maps for WordPress <= 2.88.4
• 修正済みバージョン：MapPress Maps for WordPress 2.88.5

• 名前：Super Socializer
• 脆弱性：アクセス制御の不備
• 深刻度：重要
• CVE: CVE-2023-41802
• 影響を受けるバージョン: Super Socializer <= 7.13.54
• 修正済みバージョン：Super Socializer 7.13.55

※参照元：WordPress Vulnerability & Patch Roundup September 2023

【注目ニュース①】MW WP FORMプラグインの開発が中止

20万以上のインストール数がある「MW WP FORM」について、開発者からクローズする旨の発表がありました。

「MW WP FORM」は確認画面がデフォルトでついているフォームプラグインとして、制作会社などでもよく使用されているプラグインでしたが、今後の新規採用は控えた方が良いでしょう。

その後、メンテナンスを引き継いでもらえる方が見つかった、との報告もありましたので、個人的な用途で使用する分には問題なさそうです。

【MW WP Form のメンテナンスを引き継いで頂けることになりました】
クローズ宣言をした MW WP Form ですが、なんと大変ありがたいことに引き継いでくださる方が見つかりました！…

— キタジマタカシ🐒Snow Monkey/unitone開発者 (@inc2734) September 20, 2023

MW WP Formのメンテナンスを弊社で引き継がせて頂くことになりました。

新機能の追加などは予定していないので、早めの移行を推奨する立場には変わりありません。

今回のメンテ継続の宣言は一般ユーザーさんを対象としています。制作会社さんは別のプラグインに移行しましょう。 https://t.co/PBC5hL5T0g

— モトハチ (@mt8_dot_biz) September 20, 2023

ただし、あくまで個人の方に向けたメンテナンスということなので、制作会社の方などお仕事としてWordPressサイトの制作を行なっている方は別のプラグインを採用しましょう。

代替プラグインとしては500万以上のサイトでインストールされている「Contact Form 7」や同じ方が開発されておりW WP FORMと一部コードの互換性がある「Snow Monkey Forms」などが候補に上がります。

【注目ニュース②】「Plugin Check」プラグインが公開！プラグイン開発者にレビュー前のチェックを促す

WordPressの新規プラグインの公開前には、WordPressのプラグインレビューチームによるチェックを受ける必要があります。

しかし、WordPressの開発者が拡大した結果、現在では、1200個以上のプラグインがレビュー待ちをしており、新しいプラグインを提出しても91日間待つ必要がある状態です。

この状況を打開するため、「Plugin Check」というプラグイン開発者向けのプラグインを公開したとのこと。

これにより、95%以上のプラグインで発生している3〜4つの同じエラーを事前に開発者本人がチェックできるようになります。

最終的には、「Plugin Check」によるチェックを、レビュープロセスの一部として自動チェックを実現したいとのこと。

プラグインレビューチームのハードワークが少しでも楽になり、WordPressを便利にする新たなプラグインがスピーディに世に出るようになると良いですね！

WordPress保守・運用のパートナーなら「wp.support」にお任せ！

WordPressサイトを運用していて、以下のようなお悩みはありませんか？

• 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
• サイトのUI/UXを改善したいけれど、自社内では難しい…
• WordPressサイトを高速化したいけれど、ノウハウがない…
• セキュリティ対策をしたいけれど、知識のある人材がいない…
• 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
• ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する