基礎知識 2024.06.02 2024.06.04
【2024年5月】WordPress脆弱性情報&注目ニュース まとめ|WordPress6.5.3メンテナンスリリースが公開など
目次
WordPress6.5.3 メンテナンスリリースが公開
2024年5月7日にWordPress6.5.3がリリースされました。
WordPress6.5.3はメンテナンスリリースで、WordPressコアのバグ12件、ブロックエディターのバグ9件が修正されています。
まだ、アップデートしていない場合は、必ずアップデートしておきましょう。
Five for the Futureプログラムについて
2019年に正式に開始された「Five for the Futureプログラム」の現状をまとめた記事が投稿されていました。
「Five for the Future」の名前は、企業や個人が自身のリソースの5%をWordPressプロジェクトに貢献することを奨励する考え方に由来しています。
このイニシアチブは、WordPressの共同創設者であるマット・マレンウェッグによって提唱され、2014年に公式に開始されました。以来、多くの企業や個人がこのプログラムに参加し、WordPressのコア、テーマ、プラグインの開発、ドキュメントの作成、翻訳、サポートなど、さまざまな分野で貢献しています。
2024年5月20日時点での「Five for the Future」プログラムの状況は次の通り。
・自己スポンサーの貢献者: 8,102人が114,001時間を誓約
・会社スポンサーの貢献者: 897人が7,926時間を誓約
「Five for the Future」プログラムへの参加は、個人や企業が自発的にリソースを提供することから始まります。
公式ウェブサイトや関連するGitHubページで詳細情報を確認し、自分がどのように貢献できるかを探してみましょう。
興味のある方は、ぜひ公式サイトを訪れて詳細を確認し、参加を検討してみてはいかがでしょうか。
2024年5月度のWordPress脆弱性情報
ここからは2024年5月度に発見された脆弱性をご紹介します。
今月はWordPressやプラグインに関連する脆弱性が38個発見されました。
自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストール、代替プラグインへの差し替えなどの対策を行いましょう。
特に「Yoast SEO」「Jetpack」など、日本でも多くのユーザーがいるプラグインにも脆弱性が見つかっていますのでご注意ください。
- The Events Calendar
- 深刻度: 高
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4180
- インストール数: 700,000+
- 影響を受けるバージョン: The Events Calendar <= 6.4.0
- 修正済みバージョン: The Events Calendar 6.4.0.1
- Contact Form Plugin by Fluent Forms
- 深刻度: 高
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4709
- インストール数: 400,000+
- 影響を受けるバージョン: Contact Form Plugin by Fluent Forms <= 5.1.16
- 修正済みバージョン: Contact Form Plugin by Fluent Forms 5.1.17
- Unlimited Elements For Elementor
- 深刻度: 高
- 脆弱性: SQLインジェクション
- CVE: CVE-2024-3055
- インストール数: 200,000+
- 影響を受けるバージョン: Unlimited Elements For Elementor <= 1.5.104
- 修正済みバージョン: Unlimited Elements For Elementor 1.5.105
- Elementor Website Builder
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4619
- インストール数: 5,000,000+
- 影響を受けるバージョン: Elementor Website Builder – More than Just a Page Builder <= 3.21.5
- 修正済みバージョン: Elementor Website Builder – More than Just a Page Builder 3.21.6
- Yoast SEO
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4984
- インストール数: 5,000,000+
- 影響を受けるバージョン: Yoast SEO <= 22.6
- 修正済みバージョン: Yoast SEO 22.7
- Jetpack – WP Security, Backup, Speed, & Growth
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4392
- インストール数: 4,000,000+
- 影響を受けるバージョン: Jetpack <= 13.3
- 修正済みバージョン: Jetpack 13.4
- Rank Math SEO
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4617
- インストール数: 2,000,000+
- 影響を受けるバージョン: Rank Math SEO with AI Best SEO Tools <= 1.0.218
- 修正済みバージョン: Rank Math SEO with AI Best SEO Tools 1.0.219
- ElementsKit Elementor and Templates Library
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3650
- インストール数: 1,000,000+
- 影響を受けるバージョン: ElementsKit <= 3.1.2
- 修正済みバージョン: ElementsKit 3.1.3
- Starter Templates
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4630
- インストール数: 1,000,000+
- 影響を受けるバージョン: Starter Templates <= 4.2.1
- 修正済みバージョン: Starter Templates 4.2.2
- Elementor Header & Footer Builder
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4634
- インストール数: 1,000,000+
- 影響を受けるバージョン: Elementor Header & Footer Builder <= 1.6.28
- 修正済みバージョン: Elementor Header & Footer Builder 1.6.29
- Premium Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4203
- インストール数: 700,000+
- 影響を受けるバージョン: Premium Addons for Elementor <= 4.10.30
- 修正済みバージョン: Premium Addons for Elementor 4.10.31
- Shortcodes Ultimate
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3550
- インストール数: 600,000+
- 影響を受けるバージョン: WP Shortcodes Plugin <= 7.1.5
- 修正済みバージョン: WP Shortcodes Plugin 7.1.6
- Gutenberg Blocks with AI by Kadence WP
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3189
- インストール数: 400,000+
- 影響を受けるバージョン: Gutenberg Blocks with AI by Kadence WP <= 3.2.37
- 修正済みバージョン: Gutenberg Blocks with AI by Kadence WP 3.2.38
- Royal Elementor Addons and Templates
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3887
- インストール数: 300,000+
- 影響を受けるバージョン: Royal Elementor Addons and Templates <= 1.3.974
- 修正済みバージョン: Royal Elementor Addons and Templates 1.3.975
- Blocksy Companion
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4487
- インストール数: 200,000+
- 影響を受けるバージョン: Blocksy Companion <= 2.0.45
- 修正済みバージョン: Blocksy Companion 2.0.46
- Supreme Modules Lite
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4334
- インストール数: 200,000+
- 影響を受けるバージョン: Supreme Modules Lite <= 2.5.3
- 修正済みバージョン: Supreme Modules Lite 2.5.4
- Essential Blocks for Gutenberg
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4891
- インストール数: 100,000+
- 影響を受けるバージョン: Essential Blocks <= 4.5.12
- 修正済みバージョン: Essential Blocks 4.5.13
- BuddyPress
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3974
- インストール数: 100,000+
- 影響を受けるバージョン: BuddyPress <= 12.4.0
- 修正済みバージョン: BuddyPress 12.4.1
- Advanced Ads – Ad Manager & AdSense
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3952
- インストール数: 100,000+
- 影響を受けるバージョン: Advanced Ads <= 1.52.1
- 修正済みバージョン: Advanced Ads 1.52.2
- GiveWP
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3714
- インストール数: 100,000+
- 影響を受けるバージョン: GiveWP <= 3.10.9
- 修正済みバージョン: GiveWP 3.11.0
- Prime Slider Addons For Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4339
- インストール数: 100,000+
- 影響を受けるバージョン: Prime Slider <= 3.14.3
- 修正済みバージョン: Prime Slider 3.14.4
- HT Mega – Absolute Addons For Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4876
- インストール数: 100,000+
- 影響を受けるバージョン: HT Mega <= 2.5.2
- 修正済みバージョン: HT Mega 2.5.3
- ShopLentor All in One Solution (formerly WooLentor)
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3345
- インストール数: 100,000+
- 影響を受けるバージョン: ShopLentor <= 2.8.8
- 修正済みバージョン: ShopLentor 2.8.9
- Beaver Builder
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4430
- インストール数: 100,000+
- 影響を受けるバージョン: Beaver Builder <= 2.8.1.2
- 修正済みバージョン: Beaver Builder 2.8.1.3
- Content Views
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4446
- インストール数: 100,000+
- 影響を受けるバージョン: Content Views <= 3.7.1
- 修正済みバージョン: Content Views 3.7.2
- Pods – Custom Content Types and Fields
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3956
- インストール数: 100,000+
- 影響を受けるバージョン: Pods <= 3.2.1
- 修正済みバージョン: Pods 3.2.1.1
- Content Views
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4446
- インストール数: 100,000+
- 影響を受けるバージョン: Content Views <= 3.7.1
- 修正済みバージョン: Content Views 3.7.2
- The Plus Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-34373
- インストール数: 100,000+
- 影響を受けるバージョン: The Plus Addons for Elementor <= 5.4.9
- 修正済みバージョン: The Plus Addons for Elementor 5.5.0
- ShopLentor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6327
- インストール数: 100,000+
- 影響を受けるバージョン: ShopLentor <= 2.8.8
- 修正済みバージョン: ShopLentor 2.8.9
- Essential Addons for Elementor
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4624
- インストール数: 2,000,000+
- 影響を受けるバージョン: Essential Addons for Elementor <= 5.9.20
- 修正済みバージョン: Essential Addons for Elementor 5.9.21
- One Click Demo Import
- 深刻度: 低
- 脆弱性: PHP オブジェクトインジェクション
- CVE: CVE-2024-34433
- インストール数: 1,000,000+
- 影響を受けるバージョン: One Click Demo Import <= 3.2.0
- 修正済みバージョン: One Click Demo Import 3.2.1
- Page Builder by SiteOrigin
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4361
- インストール数: 700,000+
- 影響を受けるバージョン: Page Builder by SiteOrigin <= 2.29.15
- 修正済みバージョン: Page Builder by SiteOrigin 2.29.16
- NextGEN Gallery
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2744
- インストール数: 500,000+
- 影響を受けるバージョン: NextGEN Gallery <= 3.59.0
- 修正済みバージョン: NextGEN Gallery 3.59.1
- Happy Addons for Elementor
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4865
- インストール数: 400,000+
- 影響を受けるバージョン: Happy Addons for Elementor <= 3.10.8
- 修正済みバージョン: Happy Addons for Elementor 3.10.9
- Password Protected
- 深刻度: 低
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-0437
- インストール数: 400,000+
- 影響を受けるバージョン: Password Protected <= 2.6.6
- 修正済みバージョン: Password Protected 2.6.7
- White Label CMS
- 深刻度: 低
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-4280
- インストール数: 200,000+
- 影響を受けるバージョン: White Label CMS <= 2.7.3
- 修正済みバージョン: White Label CMS 2.7.4
- Menu Icons by ThemeIsle
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4635
- インストール数: 200,000+
- 影響を受けるバージョン: Menu Icons by ThemeIsle <= 0.13.13
- 修正済みバージョン: Menu Icons by ThemeIsle 0.13.14
- Image Optimization by Optimole
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4636
- インストール数: 200,000+
- 影響を受けるバージョン: Image Optimization by Optimole <= 3.12.9
- 修正済みバージョン: Image Optimization by Optimole 3.13.0
該当するプラグイン等を導入していた場合は、速やかにアップデートを行うようにしましょう。
脆弱性に対するセキュリティアップデートは、バージョンアップによる不具合が起こりづらい部分なので、比較的安全にアップデートできます。
(ただし、作業前には必ずバックアップを取っておきましょう)
バージョンアップの方法や注意点については、以下の記事を参考にしてください。
WordPressのバージョンアップはなぜ必要なのか?5つの理由を紹介
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!