【2023年10月】WordPress脆弱性情報＆注目ニュース まとめ｜WordPress6.4リリース間近など

2023年10月度のWordPress脆弱性情報

2023年10月度に発見された脆弱性をご紹介します。
今月はWordPressプラグインに関する脆弱性が25個発見されました。

自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデートを行いましょう。

• User Feedback
• 深刻度 : 重要
• 脆弱性 : クロスサイトスクリプティング（XSS）
• 影響を受けるバージョン: User Feedback <= 1.0.9
• 修正済みバージョン: User Feedback 1.0.10

• Form Maker by 10Web
• 深刻度 : 重要
• 脆弱性 : クロスサイトスクリプティング（XSS）
• 影響を受けるバージョン: Form Maker by 10Web <= 1.15.18
• 修正済みバージョン: Form Maker by 10Web 1.15.19

• News & Blog Designer Pack
• 深刻度 : 重要
• 脆弱性 : リモートコード実行
• 影響を受けるバージョン: News & Blog Designer Pack – WordPress Blog Plugin <= 3.4.1
• 修正済みバージョン: News & Blog Designer Pack – WordPress Blog Plugin 3.4.2

• WP EXtra
• 深刻度 : 重要
• 脆弱性 : 認可不足
• 影響を受けるバージョン: WP EXtra <= 6.2
• 修正済みバージョン: WP EXtra 6.3

• LiteSpeed Cache
• 深刻度 : 警告
• 脆弱性 : クロスサイトスクリプティング（XSS）
• 影響を受けるバージョン: LiteSpeed Cache <= 5.6
• 修正済みバージョン: LiteSpeed Cache 5.7

• All In One WP Security
• 深刻度 : 警告
• 脆弱性 : URLエンコーディングによる名前変更されたログインページの保護バイパス
• 影響を受けるバージョン: All In One WP Security <= 5.2.4
• 修正済みバージョン: All In One WP Security 5.2.5

• Redirection for Contact Form 7
• 深刻度 : 警告
• 脆弱性 : アクセス制御の不備
• 影響を受けるバージョン: Redirection for Contact Form 7 <= 2.9.2
• 修正済みバージョン: Redirection for Contact Form 7 3.0.0

• Migration, Backup, Staging WPvivid
• 深刻度 : 警告
• 脆弱性 : 情報漏洩の脆弱性
• 影響を受けるバージョン: Migration, Backup, Staging
• 修正済みバージョン: Migration, Backup, Staging – WPvivid 9.9.92

• WordPress Popular Posts
• 深刻度 : 警告
• 脆弱性 : クロスサイトスクリプティング（XSS）
• 影響を受けるバージョン: WordPress Popular Posts <= 6.3.2
• 修正済みバージョン: WordPress Popular Posts 6.3.3

• ProfilePress
• 深刻度 : 警告
• 脆弱性 : 機密情報漏えい
• 影響を受けるバージョン: ProfilePress <= 4.13.2
• 修正済みバージョン: ProfilePress 4.13.3

• Templately
• 深刻度 : 警告
• 脆弱性 : アクセス制御の不備
• 影響を受けるバージョン: Templately <= 2.2.5
• 修正済みバージョン: Templately 2.2.6

• Icegram Express
• 深刻度 : 警告
• 脆弱性 : パストラバーサルの脆弱性
• 影響を受けるバージョン: Icegram Express <= 5.6.23
• 修正済みバージョン: Icegram Express 5.6.24

• Social Media & Share Icons
• 深刻度 : 警告
• 脆弱性 : 機密情報漏えい
• 影響を受けるバージョン: Social Media & Share Icons <= 2.8.5
• 修正済みバージョン: Social Media & Share Icons 2.8.6

• wpDiscuz
• 深刻度 : 警告
• 脆弱性 : アクセス制御の不備
• 影響を受けるバージョン: wpDiscuz <= 7.6.10
• 修正済みバージョン: wpDiscuz 7.6.11

• VK Blocks
• 深刻度 : 警告
• 脆弱性 : クロスサイトスクリプティング（XSS）
• 影響を受けるバージョン: VK Blocks <= 1.63.0.1
• 修正済みバージョン: VK Blocks 1.64.0.0

• Media Library Assistant
• 深刻度 : 警告
• 脆弱性 : クロスサイトスクリプティング（XSS）
• 影響を受けるバージョン: Media Library Assistant <= 3.11
• 修正済みバージョン: Media Library Assistant 3.12

• Customer Reviews for WooCommerce
• 深刻度 : 警告
• 脆弱性 : アクセス制御の不備
• 影響を受けるバージョン: Customer Reviews for WooCommerce <= 5.36.0
• 修正済みバージョン: Customer Reviews for WooCommerce 5.36.1

• Booster for WooCommerce
• 深刻度 : 警告
• 脆弱性 : クロスサイトスクリプティング（XSS）
• 影響を受けるバージョン: Booster for WooCommerce <= 7.1.2
• 修正済みバージョン: Booster for WooCommerce 7.1.3

• Master Addons for Elementor
• 深刻度 : 警告
• 脆弱性 : クロスサイトスクリプティング（XSS）
• 影響を受けるバージョン: Master Addons for Elementor <= 2.0.3
• 修正済みバージョン: Master Addons for Elementor 2.0.4

• Giveaways and Contests by RafflePress
• 深刻度 : 警告
• 脆弱性 : ショートコードを介したクロスサイトスクリプティング
• 影響を受けるバージョン: Giveaways and Contests by RafflePress <= 1.12.0
• 修正済みバージョン: Giveaways and Contests by RafflePress 1.12.2

• Store Exporter for WooCommerce
• 深刻度 : 警告
• 脆弱性 : クロスサイトスクリプティング（XSS）
• 影響を受けるバージョン: Store Exporter for WooCommerce <= 2.7.2
• 修正済みバージョン: Store Exporter for WooCommerce 2.7.2.1

• 10Web Booster
• 深刻度 : 警告
• 脆弱性 : アクセス制御の不備
• 影響を受けるバージョン: 10Web Booster – Website speed optimization, Cache & Page Speed optimizer <= 2.24.14
• 修正済みバージョン: 10Web Booster 2.24.18

• Post SMTP
• 深刻度 : 注意
• 脆弱性 : SQLインジェクション<
• 影響を受けるバージョン: Post SMTP <= 2.6.0
• 修正済みバージョン: Post SMTP 2.6.1

※参照元：WordPress Vulnerability & Patch Roundup October 2023

【注目ニュース①】WordPress6.4が11月7日にリリース！

2023年11月7日に予定されているWordPress6.4のリリースが迫ってきました。

WordPress6.4では、新しいデフォルトテーマ「Twenty Twenty-Four」がリリースされます。
サイトエディタで編集できる「ブロックテーマ」となっています。

テキストを縦書きにできるようになったり、画像をクリックして大きく表示できるライトボックス機能が追加されたり、ソーシャルアイコンとして「X」や「Threads」が追加されるなど、各種ブロック機能も追加・拡充されています。

以下のように非推奨となった関数もありますので、開発者の方は注意してください。

非推奨になった関数

• print_embed_styles()
• print_emoji_styles()
• wp_admin_bar_header()
• _admin_bar_bump_cb()
• the_block_template_skip_link()
• _wp_theme_json_webfonts_handler()
• wp_update_https_detection_errors()
• wp_img_tag_add_decoding_attr()
• _inject_theme_attribute_in_block_template_content()
• _remove_theme_attribute_in_block_template_content()

【注目ニュース②】WordPress6.4の推奨PHPバージョンはPHP8.1または8.2

2023年11月7日にリリース予定のWordPress6.4について、推奨されるPHPのバージョンが発表されました。

推奨のPHPバージョンは「PHP8.1」または「PHP8.2」ということです。

推奨されるPHPバージョンを使用することは、WordPressを安全に運用していくためには非常に重要です。

新しいWordPressとPHPのバージョンが合わなければ、サイトに不具合が起こる可能性もありますし、セキュリティ上の脆弱性に繋がるリスクもあります。

WordPress6.4にアップデートされる際には、PHPの設定も忘れずに確認しておきましょう。

WordPress保守・運用のパートナーなら「wp.support」にお任せ！

WordPressサイトを運用していて、以下のようなお悩みはありませんか？

• 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
• サイトのUI/UXを改善したいけれど、自社内では難しい…
• WordPressサイトを高速化したいけれど、ノウハウがない…
• セキュリティ対策をしたいけれど、知識のある人材がいない…
• 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
• ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する