【2023年11月】WordPress脆弱性情報＆注目ニュース まとめ｜WordPress公式を騙るフィッシングメールに注意！など

2023年11月度のWordPress脆弱性情報

2023年11月度に発見された脆弱性をご紹介します。
今月はWordPressやプラグインに関連する脆弱性が18個発見されました。

自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストールなどの対策を行いましょう。

• Elementor Website Builder
• 深刻度 : 重要
• 脆弱性 : クロスサイトスクリプティング（XSS）
• CVE: CVE-2023-47505
• インストール数: 5,000,000+
• 影響を受けるバージョン: Elementor Website Builder <= 3.16.4
• 修正済みバージョン: Elementor Website Builder 3.16.5

• WooCommerce Checkout Manager
• 深刻度 : 警告
• 脆弱性 : アクセス制御の不備
• CVE: CVE-2023-47681
• インストール数: 100,000+
• 影響を受けるバージョン: WooCommerce Checkout Manager <= 7.3.0
• 修正済みバージョン: WooCommerce Checkout Manager 7.3.1

• NitroPack
• 深刻度 : 警告
• 脆弱性 : 認証不足
• インストール数: 100,000+
• 影響を受けるバージョン: NitroPack <= 1.9.2
• 修正済みバージョン: NitroPack 1.10.0

• Cloud Templates & Patterns Collection
• 深刻度 : 警告
• 脆弱性 : センシティブデータの露出
• CVE: CVE-2023-47529
• インストール数: 100,000+
• 影響を受けるバージョン: Cloud Templates & Patterns collection <= 1.2.2
• 修正済みバージョン: Cloud Templates & Patterns collection 1.2.3

• LearnPress
• 深刻度 : 警告
• 脆弱性 : クロスサイトスクリプティング（XSS）
• インストール数: 90,000+
• 影響を受けるバージョン: LearnPress – WordPress LMS Plugin <= 4.2.5.3
• 修正済みバージョン: LearnPress – WordPress LMS Plugin 4.2.5.4

• Advanced iFrame
• 深刻度 : 警告
• 脆弱性 : クロスサイトスクリプティング（XSS）
• CVE: CVE-2023-4775
• インストール数: 60,000+
• 影響を受けるバージョン: Advanced iFrame <= 2023.8
• Ultimate Dashboard – Stored Cross-Site Scripting
• 深刻度 : 注意

• Ultimate Addons for Contact Form 7
• 深刻度 : 警告
• 脆弱性 : アクセス制御の不備
• CVE: クロスサイトスクリプティング（XSS）
• CVE: CVE-2023-4888
• インストール数: 20,000+
• 影響を受けるバージョン: Simple Like Page Plugin <= 1.5.1
• 修正済みバージョン: Simple Like Page Plugin 1.5.2

• Delete Duplicate Posts
• 深刻度 : 警告
• 脆弱性 : アクセス制御の不備
• CVE: CVE-2023-47754
• インストール数: 20,000+
• 影響を受けるバージョン: Delete Duplicate Posts < 4.9
• 修正済みバージョン: Delete Duplicate Posts 4.9

• Ecwid Ecommerce Shopping Cart
• 深刻度 : 警告
• 脆弱性 : アクセス制御の不備
• インストール数: 20,000+
• 影響を受けるバージョン: Ecwid Ecommerce Shopping Cart <= 6.12.3
• 修正済みバージョン: Ecwid Ecommerce Shopping Cart 6.12.4

• Ultimate Dashboard
• 深刻度 : 注意
• 脆弱性 : クロスサイトスクリプティング（XSS）
• CVE: CVE-2023-4726
• インストール数: 60,000+
• 影響を受けるバージョン: Ultimate Dashboard <= 3.7.7
• 修正済みバージョン: Ultimate Dashboard 3.7.8

• Solid Central
• 深刻度 : 注意
• 脆弱性 : クロスサイトスクリプティング（XSS）
• インストール数: 50,000+
• 影響を受けるバージョン: Solid Central <= 3.0.0
• 修正済みバージョン: Solid Central 3.0.1

• Easy Social Icons
• 深刻度 : 注意
• 脆弱性 : アクセス制御の不備
• CVE: CVE-2023-33998
• インストール数: 30,000+
• 影響を受けるバージョン: Easy Social Icons <= 3.2.4
• 修正済みバージョン: Easy Social Icons 3.2.5

• OneClick Chat to Order
• 深刻度 : 注意
• 脆弱性 : クロスサイトスクリプティング（XSS）
• CVE: CVE-2023-47546
• インストール数: 30,000+
• 影響を受けるバージョン: OneClick Chat to Order <= 1.0.4.2
• 修正済みバージョン: OneClick Chat to Order 1.0.5

• Social Sharing Plugin – Social Warfare
• 深刻度 : 注意
• 脆弱性 : クロスサイトスクリプティング（XSS）
• CVE: CVE-2023-4842
• インストール数: 30,000+
• 影響を受けるバージョン: Social Sharing Plugin – Social Warfare <= 4.4.3
• 修正済みバージョン: Social Sharing Plugin – Social Warfare 4.4.4

• Responsive Pricing Table
• 深刻度 : 注意
• 脆弱性 : クロスサイトスクリプティング（XSS）
• CVE: CVE-2023-4810
• インストール数: 20,000+
• 影響を受けるバージョン: Responsive Pricing Table < 5.1.8
• 修正済みバージョン: Responsive Pricing Table 5.1.8

• Popup Box
• 深刻度 : 注意
• 脆弱性 : クロスサイトスクリプティング（XSS）
• インストール数: 20,000+
• 影響を受けるバージョン: Popup Box – Best WordPress Popup Plugin < 3.8.7
• 修正済みバージョン: Popup Box – Best WordPress Popup Plugin 3.8.7

• Redirect 404 Error Page to Homepage or Custom Page with Logs
• 深刻度 : 注意
• 脆弱性 : SQLインジェクション
• CVE: CVE-2023-47530
• インストール数: 20,000+
• 影響を受けるバージョン: Redirect 404 Error Page to Homepage or Custom Page with Logs <= 1.8.7
• 修正済みバージョン: Redirect 404 Error Page to Homepage or Custom Page with Logs 1.8.8

• URL Shortify
• 深刻度 : 注意
• 脆弱性 : クロスサイトスクリプティング（XSS）
• CVE: CVE-2023-5605
• インストール数: 20,000+
• 影響を受けるバージョン: URL Shortify <= 1.7.9
• 修正済みバージョン: URL Shortify 1.7.9.1

Wordfence がバグ報奨金プログラムを開始

Wordfenceが11月9日、バグ報奨金プログラムを開始しました。

50,000件以上のアクティブなインストールを持つプラグインとテーマの脆弱性を発見した研究者に報酬が与えられるとのこと。

具体的には以下のような脆弱性を発見した場合が該当します。

1. 格納型クロスサイトスクリプティング
2. 反射型クロスサイトスクリプティング
3. サイトのセキュリティに多大な影響を与えるクロスサイトリクエストフォージェリ
4. サイトのセキュリティに多大な影響を及ぼす認証の不備
5. 任意のコンテンツの削除
6. SQLインジェクション
7. 安全でない直接オブジェクト参照
8. 任意のファイルのアップロード
9. 任意のファイルのダウンロード/読み込み
10. 任意のファイルの削除
11. ローカルファイルインクルード/リモートファイルインクルード
12. ディレクトリトラバーサル
13. 管理者への権限昇格
14. 非管理者への権限昇格
15. 管理者への認証バイパス
16. 非管理者への認証バイパス
17. リモートコード実行/コードインジェクション
18. 情報開示
19. サーバー側のリクエスト偽造
20. PHP オブジェクトのインジェクション
21. 開発者によって追加され、脅威アクターがアクセスできる意図的なバックドア

その他、参加に当たっての詳細な条件については、以下の公式サイトでご確認ください。（英語ページです）

https://www.wordfence.com/threat-intel/bug-bounty-program/

WordPress公式を騙るフィッシングメールに注意！

Patchstackによると、WordPressチームやWordPressセキュリティチームの名前でフィッシングメールが送付される大規模なキャンペーンが確認されたとのこと。

偽の脆弱性「CVE-2023-45124」を修正するという内容で、ダウンロードリンクをクリックすると、非常に良くできたフィッシングサイトに誘導されます。

インストール数などの情報はもちろん、偽のユーザーレビューや実在の開発者の表示などもあり、WordPressに詳しい人でも騙されそうな作り込みです。

このプラグインをインストール・有効化してしまうと、以下のような処理が実行されるとのことです。

1. 管理者権限を持つユーザー「wpsecuritypatch」をランダムなパスワードで新規に作成
2. 感染したサイトのURLと先程作成した管理者のパスワードをBase64エンコードして、攻撃者のサーバ「wpgate[.]zip/wpapi」へ送信
3. 攻撃者のサーバ「wpgate[.]zip/runscan」からバックドアをダウンロードし、サイトのルートに「wp-autoload.php」として保存
4. プラグインをプラグインの一覧から非表示にし、作成した管理者アカウントも非表示にする

バックドアをどのように活用するかはわかっていないそうですが、管理者権限を持つユーザーを作成されることだけでも非常に危険です。

対策としては、メールのリンク先のURL文字列をよく確認したり、公式サイトに該当の情報発信を確認したりなど、通常のフィッシングメールへの対策と同じで問題ありません。

WordPressでもこういったフィッシングメールが送られることがある、ということを認識し、迂闊にリンクを開くことは避けましょう。

もし、既にインストールしてしまった、といった場合は、早急な対処が必要です。

上記のようにユーザーやプラグインは管理画面では非表示になるため、自分で対応することが難しい場合は、WordPressの専門家への相談も検討してみてください。

WordPressサイトのトラブル復旧なら「wp.rescue」にお任せ！

WordPressサイトで急なトラブルにあったら、「wp.rescue」にご相談ください！

• 急にサイトに何も表示されなくなった…
• ログインできなくなった…
• 覚えのない不審なページがインデックスされている…
• 不審なユーザーが追加されている…
• リンクが不審なサイトに飛ぶように書き換えられている…
• バージョンアップしたらサイトが崩れてしまった…

「wp.rescue」は、WordPressのプロフェッショナル集団によるWordPressトラブル・ハッキング復旧サービスです。
WordPressサイト運営していて、急なトラブルに遭うことは珍しくありません。

原因や解決法方がわかる場合は問題ありませんが、原因がわからなかったり、ハッキングの可能性がある場合はプロに相談するのが一番です。
wp.rescueでは、様々なサイトのトラブルやハッキング被害を解決してきた経験・ノウハウがあるため、速やかなサイトの復旧が可能です。

トラブル復旧はスピードも重要。wp.rescueなら最短即日での復旧も可能ですので、お困りの場合はまずはお問い合わせフォームから無料相談をしてください。

>> wp.rescueに無料相談する