基礎知識 2024.01.04 2024.01.05
【2023年12月】WordPress脆弱性情報&注目ニュース まとめ|2024年以降の展望・AI活用
2023年12月度のWordPress脆弱性情報
2023年12月度に発見された脆弱性をご紹介します。
今月はWordPressやプラグインに関連する脆弱性が24個発見されました。
自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストールなどの対策を行いましょう。
- Burst Statistics
- 深刻度: 緊急
- 脆弱性: SQLインジェクション
- CVE: CVE-2023-5761
- インストール数: 100,000+
- 影響を受けるバージョン: Burst Statistics – Privacy-Friendly Analytics for WordPress 1.4.0 – 1.4.6.1
- 修正済みバージョン: Burst Statistics – Privacy-Friendly Analytics for WordPress 1.5.01.5.0 or greater.
- Backup Migration
- 深刻度: 緊急
- 脆弱性: コードインジェクション
- CVE: CVE-2023-6553
- インストール数: 90,000+
- 影響を受けるバージョン: Backup Migration <= 1.3.7
- 修正済みバージョン: Backup Migration 1.3.8
- Elementor Website Builder
- 深刻度: 重要
- 脆弱性: 任意のファイルのアップロード
- CVE: CVE-2023-48777
- インストール数: 5,000,000+
- 影響を受けるバージョン: Elementor <= 3.18.1
- 修正済みバージョン: Elementor 3.18.2
- WP Go Maps
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6627
- インストール数: 400,000+
- 影響を受けるバージョン: WP Go Maps < 9.0.28
- 修正済みバージョン: WP Go Maps 9.0.28
- Limit Login Attempts Reloaded
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6934
- インストール数: 2,000,000+
- 影響を受けるバージョン: Limit Login Attempts Reloaded <= 2.25.26
- 修正済みバージョン: Limit Login Attempts Reloaded 2.25.27
- WooCommerce Payments
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-49828
- インストール数: 700,000+
- 影響を受けるバージョン: WooCommerce Payments <= 6.4.2
- 修正済みバージョン: WooCommerce Payments 6.5.0
- Spectra WordPress Gutenberg Blocks
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-49833
- インストール数: 600,000+
- 影響を受けるバージョン: Spectra WordPress Gutenberg Blocks <= 2.7.9
- 修正済みバージョン: Spectra WordPress Gutenberg Blocks 2.7.10
- WP Shortcodes Ultimate Plugin
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6488
- インストール数: 600,000+
- 影響を受けるバージョン: WP Shortcodes Plugin — Shortcodes Ultimate <= 7.0.0
- 修正済みバージョン: WP Shortcodes Plugin — Shortcodes Ultimate 7.0.1
- Photo Gallery by 10Web
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6924
- インストール数: 200,000+
- 影響を受けるバージョン: Photo Gallery by 10Web <= 1.8.18
- 修正済みバージョン: Photo Gallery by 10Web 1.8.19
- Login Lockdown
- 深刻度: 警告
- 脆弱性: SQLインジェクション
- CVE: CVE-2023-50837
- インストール数: 100,000+
- 影響を受けるバージョン: Login Lockdown <= 2.06
- 修正済みバージョン: Login Lockdown 2.07
- Advanced Database Cleaner
- 深刻度: 警告
- 脆弱性: SQLインジェクション
- CVE: CVE-2023-49764
- インストール数: 100,000+
- 影響を受けるバージョン: Advanced Database Cleaner <= 3.1.2
- 修正済みバージョン: Advanced Database Cleaner 3.1.3
- SpeedyCache
- 深刻度: 警告
- 脆弱性: サーバーサイドリクエストフォージェリ (SSRF)
- CVE: CVE-2023-49746
- インストール数: 100,000+
- 影響を受けるバージョン: SpeedyCache <= 1.1.2
- 修正済みバージョン: SpeedyCache 1.1.3
- Manage Notification E-mails
- 深刻度: 警告
- 脆弱性: 認証不足
- CVE: CVE-2023-6496
- インストール数: 100,000+
- 影響を受けるバージョン: Manage Notification E-mails <= 1.8.5
- 修正済みバージョン: Manage Notification E-mails 1.8.6
- Shortcoder
- 深刻度: 警告
- 脆弱性: 認証不足
- CVE: CVE-2023-49849
- インストール数: 100,000+
- 影響を受けるバージョン: Shortcoder <= 6.3
- 修正済みバージョン: Shortcoder 6.3.1
- Menu Image Icons Made Easy
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-50826
- インストール数: 100,000+
- 影響を受けるバージョン: Menu Image Icons Made Easy <= 3.10
- 修正済みバージョン: Menu Image Icons Made Easy 3.11
- AMP for WP
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6782
- インストール数: N/A
- 影響を受けるバージョン: AMP for WP <= 1.0.92
- 修正済みバージョン: AMP for WP 1.0.92.1
- Import and Export Users and Customers
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6624
- インストール数: 80,000+
- 影響を受けるバージョン: Import and Export Users and Customers <= 1.24.3
- 修正済みバージョン: Import and Export Users and Customers 1.24.4
- Export and Import Users and Customers
- 深刻度: 警告
- 脆弱性: 危険なタイプのファイルの制限なしでのアップロード
- CVE: CVE-2023-6558
- インストール数: 80,000+
- 影響を受けるバージョン: Export and Import Users and Customers <= 2.4.8
- 修正済みバージョン: Export and Import Users and Customers 2.4.9
- EmbedPress
- 深刻度: 警告
- 脆弱性: 認証不足
- インストール数: 80,000+
- 影響を受けるバージョン: EmbedPress <= 3.9.4
- 修正済みバージョン: EmbedPress 3.9.5
- Amelia
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-50860
- インストール数: 60,000+
- 影響を受けるバージョン: Amelia <= 1.0.85
- 修正済みバージョン: Amelia 1.0.86
- Bold Page Builder
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-49823
- インストール数: 50,000+
- 影響を受けるバージョン: Bold Page Builder <= 4.6.1
- 修正済みバージョン: Bold Page Builder 4.7.0
- Ajax Load More
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-50874
- インストール数: 50,000+
- 影響を受けるバージョン: Ajax Load More <= 6.1.0.1
- 修正済みバージョン: Ajax Load More 6.2.0
- Simple Membership
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-50376
- インストール数: 50,000+
- 影響を受けるバージョン: Simple Membership <= 4.3.8
- 修正済みバージョン: Simple Membership 4.3.9
「State of the Word 2023」で語られた展望
12月11日「State of the Word 2023」が開催され、WordPressの創始者の1人であるMatt Mullenweg氏をはじめとした登壇者が、現在の取り組みや今後の展望について語りました。
- 「WordPress Play.ground」の紹介
- 「TwentyTwenty Four」テーマの紹介
- Gutenbergプロジェクトのフェーズ3のプロトタイプを利用可能
- WordPressのAI活用:プレイグラウンドプループリント
- 今後の方向性:データの解放(WordPress以外も含めたCMS間の1クリックでのデータ移行)
注目なのは、やはりAI活用。
WordPressでは、サイトの青写真を作成するという方向性で活用されるようです。
デモでは、EC機能とSEO対策を施した靴屋さんのWebサイトの青写真をわずか数秒で作成していました。
デザイナーや開発者以外の人でも、理想通りのWebサイトを作成するための助けになりそうです。
その他、イベントでのプレゼンテーションをAIによるディープフェイク翻訳で複数言語で同時配信する予定もあるとのこと。
Matt氏個人としても、AI活用には興味深々な様子なので、今後、さらなるAI活用プランが出てくるかもしれません。
また、今後の方向性ということで示されたデータの解放については、他のCMSからWordPress、またはWordPressサイト同士でのデータ移行を1クリックで行えるようにしようというもの。
これまで、サイトの移行は開発者でないと難しい部分が多く、WordPressを導入したいと思っても諦めていた方もいるかと思います。
そうしたユーザーにも門戸を開くことで、さらなるWordPressのシェア拡大を目指す一手と考えられます。
他のCMSなどはデータ形式などが違うので問題も多そうですが、データ移行が1クリックでできるようになれば恩恵を受ける人はかなり多いはずなので、今後が楽しみです。
Googleタグマネージャーを活用したクレジットカードスキミングの手口について
Googleタグマネージャーは、Googleが提供する無料のタグ管理ツールで、多くのサイトで導入されています。
しかし、このGoogleタグマネージャーを悪用したハッキングの手口が話題になっています。
今回の手口では、Googleタグマネージャーのスクリプト内にクレジットカードスキマーと呼ばれるプログラムを一目見ただけではわからないような形で埋め込まれます。
Googleタグマネージャーは信頼性の高いツールですので、一度、埋め込んでしまえばコードを見直すことも少ないと思います。
しかし、定期的にコードをチェックして、不審なコードが挿入されていたり、最初に設置したものとは別のタグマネージャーが埋め込まれている場合は十分に確認しましょう。
今回は概要のご紹介だけですが、手口やコードの詳細が知りたい方はこちらの記事をご確認ください。(リンク先は英語記事です)
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!