基礎知識 2024.03.01 2024.03.01

【2024年2月】WordPress脆弱性情報&注目ニュース まとめ|TDU(東京電機大学)学生がWordPress用プラグインの脆弱性を発見など

この記事を書いた人

株式会社e2e wp.geek編集部

WordPressサイト制作サービス「wp.make」やWordPress保守・運用サービス「wp.support」などを展開する株式会社e2eの情報発信チームです。お客様の課題解決に役立つ、WordPressの最新情報をお届けいたします。

2024年2月度のWordPress脆弱性情報

2024年2月度に発見された脆弱性をご紹介します。
今月はWordPressやプラグインに関連する脆弱性が29個発見されました。

自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストールなどの対策を行いましょう。

  • Elementor
  • 深刻度: 緊急
  • 脆弱性: パストラバーサル
  • CVE: CVE-2024-24934
  • インストール数: 5,000,000+
  • 影響を受けるバージョン: Elementor Website Builder – More than Just a Page Builder <= 3.19.0
  • 修正済みバージョン: Elementor Website Builder – More than Just a Page Builder 3.19.1
  • Backuply – Backup, Restore, Migrate and Clone
  • 深刻度: 緊急
  • 脆弱性: サービスの停止
  • CVE: CVE-2024-0842
  • インストール数: 200,000+
  • 影響を受けるバージョン: Backuply – Backup, Restore, Migrate and Clone <= 1.2.6
  • 修正済みバージョン: Backuply – Backup, Restore, Migrate and Clone 1.2.7
  • Elementor Addon Elements
  • 深刻度: 緊急
  • 脆弱性: ディレクトリトラバーサル
  • CVE: CVE-2024-1358
  • インストール数: 100,000+
  • 影響を受けるバージョン: Elementor Addon Elements <= 1.12.12
  • 修正済みバージョン: Elementor Addon Elements 1.13
  • Meta Box – WordPress Custom Fields Framework
  • 深刻度: 重要
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2023-6526
  • インストール数: 700,000+
  • 影響を受けるバージョン: Meta Box – WordPress Custom Fields Framework <= 5.9.2
  • 修正済みバージョン: Meta Box – WordPress Custom Fields Framework 5.9.3
  • WP Shortcodes Plugin — Shortcodes Ultimate
  • 深刻度: 重要
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2024-1510
  • インストール数: 600,000+
  • 影響を受けるバージョン: WP Shortcodes Plugin — Shortcodes Ultimate <= 7.0.2
  • 修正済みバージョン: WP Shortcodes Plugin — Shortcodes Ultimate 7.0.3
  • Royal Elementor Addons and Templates
  • 深刻度: 重要
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2024-0442
  • インストール数: 300,000+
  • 影響を受けるバージョン: Royal Elementor Addons and Templates <= 1.3.87
  • 修正済みバージョン: Royal Elementor Addons and Templates 1.3.88
  • Page Builder: Pagelayer
  • 深刻度: 重要
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2024-1590
  • インストール数: 200,000+
  • 影響を受けるバージョン: Page Builder: Pagelayer – Drag and Drop website builder <= 1.8.2
  • 修正済みバージョン: Page Builder: Pagelayer – Drag and Drop website builder 1.8.3
  • Sassy Social Share
  • 深刻度: 重要
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2024-1448
  • インストール数: 100,000+
  • 影響を受けるバージョン: Social Sharing Plugin – Sassy Social Share <= 3.3.56
  • 修正済みバージョン: Social Sharing Plugin – Sassy Social Share 3.3.57
  • All-In-One Security (AIOS) Security and Firewall
  • 深刻度: 警告
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2024-1037
  • インストール数: 1,000,000+
  • 影響を受けるバージョン: All-In-One Security (AIOS) – Security and Firewall <= 5.2.5
  • 修正済みバージョン: All-In-One Security (AIOS) – Security and Firewall 5.2.6
  • InfiniteWP Client
  • 深刻度: 警告
  • 脆弱性: 機密情報の漏洩
  • CVE: CVE-2023-6565
  • インストール数: 200,000+
  • 影響を受けるバージョン: InfiniteWP Client <= 1.12.3
  • 修正済みバージョン: InfiniteWP Client 1.12.3.1
  • Best WordPress Gallery Plugin
  • 深刻度: 警告
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2024-0604
  • インストール数: 100,000+
  • 影響を受けるバージョン: Best WordPress Gallery Plugin – FooGallery <= 2.4.7
  • 修正済みバージョン: Best WordPress Gallery Plugin – FooGallery 2.4.9
  • YARPP – Yet Another Related Posts Plugin
  • 深刻度: 警告
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2024-0602
  • インストール数: 100,000+
  • 影響を受けるバージョン: YARPP – Yet Another Related Posts Plugin <= 5.30.9
  • 修正済みバージョン: YARPP – Yet Another Related Posts Plugin 5.30.10
  • Schema & Structured Data for WP & AMP
  • 深刻度: 警告
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2024-1586
  • インストール数: 100,000+
  • 影響を受けるバージョン: Schema & Structured Data for WP & AMP <= 1.26
  • 修正済みバージョン: Schema & Structured Data for WP & AMP 1.27

TDU(東京電機大学)学生がWordPress用プラグインの脆弱性を発見

2月26日、東京電機大学は情報通信工学科の学生 春間祐希さんがWordPress用プラグイン「File Manager」の脆弱性を発見したと発表しました。

バックアップファイル名のランダム性が不十分になるため、攻撃者が不正にバックアップファイルにアクセスできる可能性があるとのことです。

WordCamp Kansai 2024開催

2024年2月23日(金)24日(土)、WordCamp Kansai 2024が、三宮コンベンションセンターにて開催されました。

関西でのWordCampは、WordCamp Osaka 2019以来の5年ぶりで、「“Set Sail – 共に学び・共有し、新しい旅に備えよう”」をテーマに開催されました。

様々な催しが準備され、#wckansaiのついたポストも多数投稿され、大変盛り上がったようです。

参加者のブログ記事のまとめもありますので、ぜひ目を通してみてくださいね!

WordCamp Kansai 2024 ブログ記事まとめ

WordPress フォトフェスティバル2024開催

2月3日から10日まで、インドのケーララ州のWordPressコミュニティがInternational Photosイベントを開催しました。
WordPress Photosライブラリでの写真・寄稿者の数を増やすことが目的とのことです。

現在、WordPress Photosライブラリには、15,000枚を超える写真が投稿されています。
このイベントでは、1週間で1000枚の写真登録を目標としており、初日だけで400枚以上の投稿があり、最終的に目標も達成されたとのことです。

WordPress Photo Festival 2024, A Five Part Retrospective, Part 1, Organizers

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support資料

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!

もっと詳しく