基礎知識 2024.04.01 2024.04.02
【2024年3月】WordPress脆弱性情報&注目ニュース まとめ|WordCamp Asia2024が開催など
目次
「WordCamp Asia 2024」、3/7〜3/9開催
2024年3月7〜9日の3日間、「WordCamp Asia 2024」が台湾の首都、台北で開催されました。
台湾での開催は2回目、昨年はバンコクで開催されています。
約70ヶ国から約2000人の参加者が参加したとのことです。
WordPressの将来、デザインの多面性、AI を使用した WordPressサイトの構築と保守、サイト編集者による効率的なワークフローの実現、テクノロジーとテクノロジーにおける多様性、公平性、包括性、帰属の重要性などのテーマの講演が開催されました。
すべての講演の録画はYoutubeにアップされていますので、気になる方はこちらのYoutubeリストからご確認ください。
なお、次回の「WordCamp Asia 2025」は2025年2月にフィリピンのマニラで開催されるとのことです。
「State of the Word 2024」、東京開催が決定
上記の「WordCamp Asia 2024」において、最終日のQ&Aセッションに登壇したWordPress共同創設者のマット・マレンウェッグ氏は、「State of the Word 2024」が、2024年12月16日に日本の東京で開催予定であると発表しました。
「State of the Word」は、マットによる年次基調講演で、WordPressの長期的な展望や達成事項などが語られます。
2023年はスペインのマドリードで開催されました。
Youtubeでもライブストリーミング配信されるので、現地での参加が難しい方もオンラインで視聴できます。
東京の地で何が語られるのか、今から楽しみですね。
IPAがオープンソース推進のためのページを公開
IPA(独立行政法人情報処理推進機構)が、「オープンソフトウェア(OSS)の推進」というページを2024年3月19日に公開しました。
経済産業省管轄の独立行政法人であるIPAが、「オープンソースを推進する」と発表したことは、OSS業界にとっては良い材料と言えるでしょう。
このページは、オープンソース推進のための参考情報をまとめたページになっており、
- 国内外のOSS関連ニュース
- 国内外のOSSサポート情報
- 主要なOSS(鳥瞰図)
- OSS戦略の参考情報
- OSSライセンスを理解するための参考情報
- 利活用事例の収集
といったコンテンツが掲載されています。
国内ではオープンソース活用に関してリスク面ばかりがクローズアップされることがありますが、公的機関によって情報発信されることで正しい理解の促進が期待されます。
また、社内の稟議やクライアントへの提案時に、これらのコンテンツを活用すると良いでしょう。
2024年3月度のWordPress脆弱性情報
ここからは2024年3月度に発見された脆弱性をご紹介します。
今月はWordPressやプラグインに関連する脆弱性が30個発見されました。
自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストールなどの対策を行いましょう。
特に「Contact Form 7」などは、国内のWebサイトでも多数採用されているプラグインですのでご注意ください。
- Essential Addons for Elementor
- 深刻度: 緊急
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1537
- インストール数: 2,000,000+
- 影響を受けるバージョン: Essential Addons for Elementor <= 5.9.9
- 修正済みバージョン: Essential Addons for Elementor 5.9.10
- WP Statistics
- 深刻度: 緊急
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2194
- インストール数: 600,000+
- 影響を受けるバージョン: WP Statistics <= 14.5
- 修正済みバージョン: WP Statistics 14.5.1
- Contact Form 7
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2242
- インストール数: 5,000,000+
- 影響を受けるバージョン: Contact Form 7 <= 5.9
- 修正済みバージョン: Contact Form 7 5.9.2
- ElementsKit Elementor addons
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1239
- インストール数: 1,000,000+
- 影響を受けるバージョン: ElementsKit Elementor addons <= 3.0.4
- 修正済みバージョン: ElementsKit Elementor addons 3.0.5
- Elementor Header & Footer Builder
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1237
- インストール数: 1,000,000+
- 影響を受けるバージョン: Elementor Header & Footer Builder <= 1.6.24
- 修正済みバージョン: Elementor Header & Footer Builder 1.6.25
- ElementsKit Elementor addons
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2042
- インストール数: 1,000,000+
- 影響を受けるバージョン: ElementsKit Elementor addons <= 3.0.5
- 修正済みバージョン: ElementsKit Elementor addons 3.0.6
- Premium Addons for Elementor
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-0326
- インストール数: 700,000+
- 影響を受けるバージョン: Premium Addons for Elementor <= 4.10.17
- 修正済みバージョン: Premium Addons for Elementor 4.10.18
- Happy Addons for Elementor
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1366
- インストール数: 400,000+
- 影響を受けるバージョン: Happy Addons for Elementor <= 3.10.3
- 修正済みバージョン: Happy Addons for Elementor 3.10.4
- Fluent Forms
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6957
- インストール数: 400,000+
- 影響を受けるバージョン: Fluent Forms <= 5.1.9
- 修正済みバージョン: Fluent Forms 5.1.10
- Royal Elementor Addons and Templates
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1500
- インストール数: 300,000+
- 影響を受けるバージョン: Royal Elementor Addons and Templates <= 1.3.91
- 修正済みバージョン: Royal Elementor Addons and Templates 1.3.92
- Otter Blocks
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2226
- インストール数: 300,000+
- 影響を受けるバージョン: Otter Blocks <= 2.6.4
- 修正済みバージョン: Otter Blocks 2.6.5
- Page Builder: Pagelayer
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2127
- インストール数: 200,000+
- 影響を受けるバージョン: Page Builder: Pagelayer <= 1.8.3
- 修正済みバージョン: Page Builder: Pagelayer 1.8.4
- ProfilePress
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1535
- インストール数: 200,000+
- 影響を受けるバージョン: ProfilePress <= 4.15.2
- 修正済みバージョン: ProfilePress 4.15.3
- Blocksy Companion
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2392
- インストール数: 200,000+
- 影響を受けるバージョン: Blocksy Companion <= 2.0.31
- 修正済みバージョン: Blocksy 2.0.32
- Qi Addons For Elementor
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-0826
- インストール数: 100,000+
- 影響を受けるバージョン: Qi Addons For Elementor <= 1.6.7
- 修正済みバージョン: Qi Addons For Elementor 1.6.8
- Advanced Access Manager
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-29127
- インストール数: 100,000+
- 影響を受けるバージョン: Advanced Access Manager <= 6.9.20
- 修正済みバージョン: Advanced Access Manager 6.9.21
- GiveWP
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1424
- インストール数: 100,000+
- 影響を受けるバージョン: GiveWP <= 3.5.1
- 修正済みバージョン: GiveWP 3.6.0
- Essential Blocks
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2255
- インストール数: 100,000+
- 影響を受けるバージョン: Essential Blocks <= 4.5.2
- 修正済みバージョン: Essential Blocks 4.5.4
- WP Chat App
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1761
- インストール数: 100,000+
- 影響を受けるバージョン: WP Chat App <= 3.6.1
- 修正済みバージョン: WP Chat App 3.6.2
- Prime Slider
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1506
- インストール数: 100,000+
- 影響を受けるバージョン: Prime Slider <= 3.13.1
- 修正済みバージョン: Prime Slider 3.13.2
- Sassy Social Share
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1989
- インストール数: 100,000+
- 影響を受けるバージョン: Sassy Social Share <= 3.3.58
- 修正済みバージョン: Sassy Social Share 3.3.59
- The Plus Addons for Elementor
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1419
- インストール数: 100,000+
- 影響を受けるバージョン: The Plus Addons for Elementor <= 5.4.0
- 修正済みバージョン: The Plus Addons for Elementor 5.4.1
- Prime Slider – Addons For Elementor
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1507
- インストール数: 100,000+
- 影響を受けるバージョン: Prime Slider <= 3.13.3
- 修正済みバージョン: Prime Slider 3.13.4
- ShopLentor – Stored Cross-Site Scripting
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1960
- インストール数: 100,000+
- 影響を受けるバージョン: ShopLentor <= 2.8.1
- 修正済みバージョン: ShopLentor 2.8.2
- HUSKY – Products Filter for WooCommerce
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1796
- インストール数: 100,000+
- 影響を受けるバージョン: HUSKY <= 1.3.5.1
- 修正済みバージョン: HUSKY 1.3.5.2
- Prime Slider
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1508
- インストール数: 100,000+
- 影響を受けるバージョン: Prime Slider <= 3.13.2
- 修正済みバージョン: Prime Slider 3.13.3
- HT Mega
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1397
- インストール数: 100,000+
- 影響を受けるバージョン: HT Mega <= 2.4.6
- 修正済みバージョン: HT Mega 2.4.7
- Beaver Builder
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1080
- インストール数: 100,000+
- 影響を受けるバージョン: Beaver Builder <= 2.7.4.4
- 修正済みバージョン: Beaver Builder 2.7.4.5
- Permalink Manager Lite and Pro
- 深刻度: 重要
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2738
- インストール数: 80,000+
- 影響を受けるバージョン: Permalink Manager Lite and Pro <= 2.4.3.1
- 修正済みバージョン: Permalink Manager Lite and Pro 2.4.3.2
- WP Go Maps
- 深刻度: 警告
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-4839
- インストール数: 400,000+
- 影響を受けるバージョン: WP Go Maps <= 9.0.32
- 修正済みバージョン: WP Go Maps 9.0.33
該当するプラグイン等を導入していた場合は、速やかにアップデートを行うようにしましょう。
脆弱性に対するセキュリティアップデートは、バージョンアップによる不具合が起こりづらい部分なので、比較的安全にアップデートできます。
(ただし、作業前には必ずバックアップを取っておきましょう)
バージョンアップの方法や注意点については、以下の記事を参考にしてください。
WordPressのバージョンアップはなぜ必要なのか?5つの理由を紹介
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったらWordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!