基礎知識 2024.05.02 2024.06.27
【2024年4月】WordPress脆弱性情報&注目ニュース まとめ|WordPress6.5「Regina」がリリース、など
目次
WordPress 6.5 『Regina』がリリース(4/2)
2024年4月2日、WordPress6.5『Regina』がリリースされました。
WordPressの各バージョンには、伝統的にジャズミュージシャンの名前がつけられますが、今回は著名なジャズヴァイオリニスト『レジーナ・カーター』が採用されています。
今回のWordPress6.5では、以下のような機能が実装されています。
- フォントライブラリ(新機能)
コーディングなどの手順を必要とせず、ブロックテーマのローカルフォント・Googleフォントをサイト全体に簡単にインストール・削除・有効化が可能になります。サイトエディタの
「スタイル」→「タイポグラフィ」から設定可能です。 - リビジョン機能の強化
テンプレートやテンプレートパーツのリビジョンもサイトエディタ内で確認できるようになりました。また、変更箇所の概要も箇条書きで表示されます。 - ブロックの機能拡張
グループブロックの背景画像の自由度向上、カバーブロックのアスペクト比・カラーオーバーレイ機能追加、ドロップシャドウオプションを使用できるブロックの追加など。 - データビュー機能の改善
サイトエディター内でのデザインが改善され、レイアウト変更やフィールドの切り替えなど、テンプレートやパーツなどを探しやすくなっています。 - 細かな改善
よりスムーズなドラッグアンドドロップ、リンク機能の改善、パフォーマンスの改善などが実装されています。
上記以外にも開発者向けの機能の実装などもありますので、詳しい内容については、WordPress公式のリリース内容をご確認ください。
Automattic社が新しいWordPressローカル開発環境「Studio」を発表
2024年4月24日、Automatticは新しいローカル開発環境「Studio」を発表しました。
StudioはオープンソースとしてGitHubに公開されており、以下の手順で利用できます。
- 公式サイトから Mac用Studioをダウンロード
- Studioをインストールして開く
- サイト名を入力し[サイトを追加]をクリックして完了
現在はMac用のみでWindows板は開発中の模様です。
筆者も実際に試してみましたが、3分ほどでWordPressサイトを立ち上げられました。
これまで、手軽なWordPressのローカル開発環境としては「Local(旧Local by Flywheel)」が注目されていました。
「Local」は「Studio」よりも多少立ち上げの手間は必要なものの、MySQLバージョンやPHPバージョンの設定ができ、多彩な環境での検証を行いやすい利点があります。
とはいえ、「Studio」はまだ発表直後。
開発元がAutomatticということもあるので、今後の機能拡張に注目ですね。
2024年4月度のWordPress脆弱性情報
ここからは2024年4月度に発見された脆弱性をご紹介します。
今月はWordPressやプラグインに関連する脆弱性が43個発見されました。
自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストール、代替プラグインへの差し替えなどの対策を行いましょう。
特にElementor関連のプラグインや「Smart Slider 3」など、採用数の多いプラグインもあります。
また、クラシックエディターをブロックエディターに変換する「Guetenberg」プラグインにも脆弱性が確認されているので、忘れずにアップデートしましょう。
- Email Subscribes by Icegram Express
- 深刻度: 高
- 脆弱性: SQLインジェクション
- CVE: CVE-2024-2876
- インストール数: 90,000+
- 影響を受けるバージョン: Icegram Express <= 5.7.14
- 修正済みバージョン: Icegram Express 5.7.15
- User Registration
- 深刻度: 高
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-2417
- インストール数: 70,000+
- 影響を受けるバージョン: User Registration <= 3.1.5
- 修正済みバージョン: User Registration 3.2.0
- Essential Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3333
- インストール数: 2,000,000+
- 影響を受けるバージョン: Essential Addons for Elementor <= 5.9.14
- 修正済みバージョン: Essential Addons for Elementor 5.9.15
- ElementsKit Elementor addons
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2803
- インストール数: 1,000,000+
- 影響を受けるバージョン: ElementsKit Elementor addons <= 3.0.7
- 修正済みバージョン: ElementsKit Elementor addons 3.1.0
- Smart Slider 3
- 深刻度: 中
- 脆弱性: 認証のないファイルアップロード
- CVE: CVE-2024-3027
- インストール数: 900,000+
- 影響を受けるバージョン: Smart Slider 3 <= 3.5.1.22
- 修正済みバージョン: Smart Slider 3 3.5.1.23
- Premium Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-0376
- インストール数: 700,000+
- 影響を受けるバージョン: Premium Addons for Elementor <= 4.10.16
- 修正済みバージョン: Premium Addons for Elementor 4.10.17
- Premium Addons for Elementor
- 深刻度: 中
- 脆弱性: DOM-Based クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2666
- インストール数: 700,000+
- 影響を受けるバージョン: Premium Addons for Elementor <= 4.10.24
- 修正済みバージョン: Premium Addons for Elementor 4.10.25
- Ocean Extra
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3167
- インストール数: 700,000+
- 影響を受けるバージョン: Ocean Extra <= 2.2.6
- 修正済みバージョン: Ocean Extra 2.2.7
- Premium Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2665
- インストール数: 700,000+
- 影響を受けるバージョン: Premium Addons for Elementor <= 4.10.27
- 修正済みバージョン: Premium Addons for Elementor 4.10.28
- Spectra – WordPress Gutenberg Blocks
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6486
- インストール数: 700,000+
- 影響を受けるバージョン: Spectra
- 修正済みバージョン: Spectra
- Slider, Gallery, and Carousel by MetaSlider
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3285
- インストール数: 600,000+
- 影響を受けるバージョン: Slider, Gallery, and Carousel by MetaSlider <= 3.70.0
- 修正済みバージョン: Slider, Gallery, and Carousel by MetaSlider 3.70.1
- Forminator
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3053
- インストール数: 500,000+
- 影響を受けるバージョン: Forminator <= 1.29.2
- 修正済みバージョン: Forminator 1.29.3
- Happy Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2788
- インストール数: 400,000+
- 影響を受けるバージョン: Happy Addons for Elementor <= 3.10.4
- 修正済みバージョン: Happy Addons for Elementor 3.10.5
- Gutenberg Blocks by Kadence Blocks
- 深刻度: 中
- 脆弱性: DOM-Based クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2919
- インストール数: 400,000+
- 影響を受けるバージョン: Gutenberg Blocks by Kadence Blocks <= 3.2.31
- 修正済みバージョン: Gutenberg Blocks by Kadence Blocks 3.2.32
- Gutenberg
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- インストール数: 300,000+
- 影響を受けるバージョン: Gutenberg 12.9.0 – 18.0.0
- 修正済みバージョン: Gutenberg 18.01
- Otter Blocks
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3343
- インストール数: 300,000+
- 影響を受けるバージョン: Otter Blocks <= 2.6.8
- 修正済みバージョン: Otter Blocks 2.6.9
- Paid Membership Plugin
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2867
- インストール数: 200,000+
- 影響を受けるバージョン: ProfilePress <= 4.15.5
- 修正済みバージョン: ProfilePress 4.15.6
- Ultimate Member
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2765
- インストール数: 200,000+
- 影響を受けるバージョン: Ultimate Member <= 2.8.4
- 修正済みバージョン: Ultimate Member 2.8.5
- FileBird
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2345
- インストール数: 200,000+
- 影響を受けるバージョン: FileBird <= 5.6.3
- 修正済みバージョン: FileBird 5.6.4
- ShopLentor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2868
- インストール数: 100,000+
- 影響を受けるバージョン: ShopLentor <= 2.8.3
- 修正済みバージョン: ShopLentor 2.8.4
- Element Pack Elementor Addons
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1428
- インストール数: 100,000+
- 影響を受けるバージョン: Element Pack Elementor Addons <= 5.5.3
- 修正済みバージョン: Element Pack Elementor Addons 5.5.4
- GiveWP – Donation Plugin and Fundraising Platform
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1957
- インストール数: 100,000+
- 影響を受けるバージョン: GiveWP <= 3.6.1
- 修正済みバージョン: GiveWP 3.7.0
- Essential Blocks for Gutenberg
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-31306
- インストール数: 100,000+
- 影響を受けるバージョン: Essential Blocks for Gutenberg <= 4.5.3
- 修正済みバージョン: Essential Blocks for Gutenberg 4.5.4
- Element Pack Elementor Addons
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-0837
- インストール数: 100,000+
- 影響を受けるバージョン: Element Pack Elementor Addons <= 5.3.2
- 修正済みバージョン: Element Pack Elementor Addons 5.3.3
- FooGallery
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2471
- インストール数: 100,000+
- 影響を受けるバージョン: FooGallery <= 2.4.14
- 修正済みバージョン: FooGallery 2.4.15
- HT Mega – Absolute Addons For Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3308
- インストール数: 100,000+
- 影響を受けるバージョン: HT Mega – Absolute Addons For Elementor <= 2.4.9
- 修正済みバージョン: HT Mega – Absolute Addons For Elementor 2.5.0
- Icegram Express
- 深刻度: 中
- 脆弱性クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2656
- インストール数: 100,000+
- 影響を受けるバージョン: Icegram Express <= 5.7.14
- 修正済みバージョン: Icegram Express 5.7.16
- Enhanced Media Library
- 深刻度: 中
- 脆弱性クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2840
- インストール数: 90,000+
- 影響を受けるバージョン: Enhanced Media Library <= 2.8.9
- 修正済みバージョン: Enhanced Media Library 2.8.10
- EmbedPress
- 深刻度: 中
- 脆弱性クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3244
- インストール数: 90,000+
- 影響を受けるバージョン: EmbedPress <= 3.9.14
- 修正済みバージョン: EmbedPress 3.9.15
- LearnPress
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1463
- インストール数: 90,000+
- 影響を受けるバージョン: LearnPress <= 4.2.6.3
- 修正済みバージョン: LearnPress 4.2.6.4
- Sydney Toolbox
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3208
- インストール数: 80,000+
- 影響を受けるバージョン: Sydney Toolbox <= 1.28
- 修正済みバージョン: Sydney Toolbox 1.29
- WordPress Tag and Category Manager – AI Autotagger
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2830
- インストール数: 60,000+
- 影響を受けるバージョン: WordPress Tag and Category Manager <= 3.13.0
- 修正済みバージョン: WordPress Tag and Category Manager 3.20.0
- Elementor Addons by Livemesh
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2539
- インストール数: 60,000+
- 影響を受けるバージョン: Elementor Addons by Livemesh <= 8.3.6
- 修正済みバージョン: Elementor Addons by Livemesh 8.3.7
- Carousel, Slider, Gallery by WP Carousel
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2949
- インストール数: 60,000+
- 影響を受けるバージョン: WP Carousel <= 2.6.3
- 修正済みバージョン: WP Carousel 2.6.4
- Exclusive Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2503
- インストール数: 60,000+
- 影響を受けるバージョン: Exclusive Addons for Elementor <= 2.6.9.2
- 修正済みバージョン: Exclusive Addons for Elementor 2.6.9.3
- Bold Page Builder
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3266
- インストール数: 50,000+
- 影響を受けるバージョン: Bold Page Builder <= 4.8.8
- 修正済みバージョン: Bold Page Builder 4.8.9
- RSS Aggregator by Feedzy
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6877
- インストール数: 50,000+
- 影響を受けるバージョン: RSS Aggregator by Feedzy <= 4.3.3
- 修正済みバージョン: RSS Aggregator by Feedzy 4.3.4
- Piotnet Addons For Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-29934
- インストール数: 40,000+
- 影響を受けるバージョン: Piotnet Addons For Elementor <= 2.4.25
- 修正済みバージョン: Piotnet Addons For Elementor 2.4.26
- Carousel Slider
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3703
- インストール数: 40,000+
- 影響を受けるバージョン: Carousel Slider <= 2.2.9
- 修正済みバージョン: Carousel Slider 2.2.10
- File Manager
- 深刻度: 低
- 脆弱性: ディレクトリトラバーサル
- CVE: CVE-2024-2654
- インストール数: 1,000,000+
- 影響を受けるバージョン: File Manager <= 7.2.5
- 修正済みバージョン: File Manager 7.2.6
- Photo Gallery by 10Web
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2296
- インストール数: 200,000+
- 影響を受けるバージョン: Photo Gallery by 10Web <= 1.8.21
- 修正済みバージョン: Photo Gallery by 10Web 1.8.22
- WPC Smart Quick View for WooCommerce
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6494
- インストール数: 60,000+
- 影響を受けるバージョン: WPC Smart Quick View for WooCommerce <= 4.0.2
- 修正済みバージョン: WPC Smart Quick View for WooCommerce 4.0.3
- FancyBox for WordPress
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-0662
- インストール数: 50,000+
- 影響を受けるバージョン: FancyBox for WordPress 3.0.2 – 3.3.3
- 修正済みバージョン: FancyBox for WordPress 3.3.4
※今回から、深刻度の表記を従来の「緊急・重要・警告」から「高・中・低」へと変更しています。
今後も、よりわかりやすくお伝えできるように、改善してまいります。
該当するプラグイン等を導入していた場合は、速やかにアップデートを行うようにしましょう。
脆弱性に対するセキュリティアップデートは、バージョンアップによる不具合が起こりづらい部分なので、比較的安全にアップデートできます。
(ただし、作業前には必ずバックアップを取っておきましょう)
バージョンアップの方法や注意点については、以下の記事を参考にしてください。
WordPressのバージョンアップはなぜ必要なのか?5つの理由を紹介
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったらWordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!
この記事を読んだ方はこんな記事も見ています
-
2024.06.27投稿
非公開: 【完全版】WordPressをバージョンアップする方法
WordPressのバージョンアップを行いたいものの、適切な方法が分からず、放置してしまっている方は多いのではないでしょうか。また、WordPressのバージョンアップを行わない方の中には、バージョンアップによって発生す... <続きを読む>
