基礎知識 2024.07.01 2024.07.01
【2024年6月】WordPress脆弱性情報&注目ニュース まとめ|WordPress6.5.5メンテナンスリリースが公開など
目次
WordPress6.5.5 メンテナンスリリースが公開
2024年6月24日に、WordPress6.5.5がリリースされています。
WordPress6.5.5はメンテナンスリリースで、WordPressコアのクロスサイトスクリプティング(XSS)の脆弱性2件、パストラバーサルの問題1件、その他のバグが修正が含まれています。
WordPressサイトのリスクを軽減し、安全に運用するために、セキュリティアップデートは確実に適用しておくことを推奨します。
WordPressのバージョンアップについて、不安がある場合はWordPress保守サービスを検討してみるのも良いでしょう。
他サービスからのデータ漏洩被害:WordPressがプラグイン作者のセキュリティ強化を推奨
2024年6月23・24日にかけて、他のWebサイトで流出したアカウント情報を使った辞書型攻撃により、WordPressプラグインの開発者アカウントが侵害されました。
これにより、5つのプラグインに悪意のあるコードが挿入されていることが確認され、プラグインチームは早急な修正やダウンロードの停止といった措置をとっています。
加えて、すべてのプラグイン開発者のパスワードをリセットされたとのことです。
また、makeブログ内でプラグイン開発者に向けて、強力なパスワードを設定するとともに、他サービスでパスワードを使い回さないことや二段階認証の設定、適切なユーザー管理など、セキュリティに関する注意喚起を行っています。
該当する方は確認しておきましょう。
2024年6月度のWordPress脆弱性情報
ここからは2024年6月度に発見された脆弱性をご紹介します。
今月はWordPressやプラグインに関連する脆弱性が40個発見されました。
自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストール、代替プラグインへの差し替えなどの対策を行いましょう。
特に「Yoast SEO」「Jetpack」など、日本でも多くのユーザーがいるプラグインにも脆弱性が見つかっていますのでご注意ください。
プラグインの脆弱性情報
- WooCommerce
- 深刻度: 緊急
- 脆弱性: クロスサイトスクリプティング(XSS)
- インストール数: 7,000,000+
- 影響を受けるバージョン: WooCommerce <= 8.9.2
- 修正済みバージョン: WooCommerce 8.9.3
- Email Subscribers by Icegram Express
- 深刻度: 緊急
- 脆弱性: SQLインジェクション
- CVE: CVE-2024-37252
- インストール数: 90,000+
- 影響を受けるバージョン: Email Subscribers by Icegram Express <= 5.7.23
- 修正済みバージョン: Email Subscribers by Icegram Express 5.7.24
- Woody code snippets
- 深刻度: 高
- 脆弱性: リモートコード実行(RCE)
- CVE: CVE-2024-3105
- インストール数: 70,000+
- 影響を受けるバージョン: Woody code snippets – Insert Header Footer Code, AdSense Ads <= 2.5.0
- 修正済みバージョン: Woody code snippets – Insert Header Footer Code, AdSense Ads 2.5.1
greater.
- Blog2Social: Social Media Auto Post & Scheduler
- 深刻度: 高
- 脆弱性: SQLインジェクション
- CVE: CVE-2024-3549
- インストール数: 60,000+
- 影響を受けるバージョン: Blog2Social: Social Media Auto Post & Scheduler <= 7.4.1
- 修正済みバージョン: Blog2Social: Social Media Auto Post & Scheduler 7.4.2
- Essential Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-5189
- インストール数: 2,000,000+
- 影響を受けるバージョン: Essential Addons for Elementor <= 5.9.23
- 修正済みバージョン: Essential Addons for Elementor 5.9.24
- Elementor Header & Footer Builder
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-5757
- インストール数: 2,000,000+
- 影響を受けるバージョン: Elementor Header & Footer Builder <= 1.6.35
- 修正済みバージョン: Elementor Header & Footer Builder 1.6.36
- WPS Hide Login
- 深刻度: 中
- 脆弱性: バイパス脆弱性
- CVE: CVE-2024-2473
- インストール数: 1,000,000+
- 影響を受けるバージョン: WPS Hide Login <= 1.9.15
- 修正済みバージョン: WPS Hide Login 1.9.16
- Smush Image Optimization
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2023-3352
- インストール数: 1,000,000+
- 影響を受けるバージョン: Smush Image Optimization <= 3.16.4
- 修正済みバージョン: Smush Image Optimization 3.16.5
- Solid Security
- 深刻度: 中
- 脆弱性: DoS攻撃の脆弱性
- CVE: CVE-2022-44593
- インストール数: 900,000+
- 影響を受けるバージョン: Solid Security <= 9.3.1
- 修正済みバージョン: Solid Security 9.3.2
- Premium Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-5553
- インストール数: 700,000+
- 影響を受けるバージョン: Premium Addons for Elementor <= 4.10.33
- 修正済みバージョン: Premium Addons for Elementor 4.10.34
- Ocean Extra
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-5531
- インストール数: 600,000+
- 影響を受けるバージョン: Ocean Extra <= 2.2.8
- 修正済みバージョン: Ocean Extra 2.2.9
- SiteOrigin Widgets Bundle
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-5090
- インストール数: 600,000+
- 影響を受けるバージョン: SiteOrigin Widgets Bundle <= 1.61.0
- 修正済みバージョン: SiteOrigin Widgets Bundle 1.62.0
- Gutenberg Blocks with AI by Kadence WP
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4863
- インストール数: 400,000+
- 影響を受けるバージョン: Gutenberg Blocks with AI by Kadence WP <= 3.2.38
- 修正済みバージョン: Gutenberg Blocks with AI by Kadence WP 3.2.39
- SEOPress – On-site SEO
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1168
- インストール数: 300,000+
- 影響を受けるバージョン: SEOPress <= 7.9.0
- 修正済みバージョン: SEOPress 7.9.1
- WP Go Maps (formerly WP Google Maps)
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-5994
- インストール数: 300,000+
- 影響を受けるバージョン: WP Go Maps <= 9.0.38
- 修正済みバージョン: WP Go Maps 9.0.39
- WordPress Funnel Builder by CartFlows
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4632
- インストール数: 200,000+
- 影響を受けるバージョン: WooCommerce Checkout & Funnel Builder by CartFlows <= 2.0.7
- 修正済みバージョン: WooCommerce Checkout & Funnel Builder by CartFlows 2.0.8
- Orbit Fox by ThemeIsle
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2484
- インストール数: 200,000+
- 影響を受けるバージョン: Orbit Fox by ThemeIsle <= 2.10.34
- 修正済みバージョン: Orbit Fox by ThemeIsle 2.10.35
- Jeg Elementor Kit
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4479
- インストール数: 200,000+
- 影響を受けるバージョン: Jeg Elementor Kit <= 2.6.5
- 修正済みバージョン: Jeg Elementor Kit 2.6.6
- Popup Builder
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2023-6696, CVE-2024-2544
- インストール数: 200,000+
- 影響を受けるバージョン: Popup Builder <= 4.3.1
- 修正済みバージョン: Popup Builder 4.3.2
- Download Manager
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-1766
- インストール数: 100,000+
- 影響を受けるバージョン: Download Manager <= 3.2.86
- 修正済みバージョン: Download Manager 3.2.87
- PowerPack Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-5787
- インストール数: 100,000+
- 影響を受けるバージョン: PowerPack Addons for Elementor <= 2.7.20
- 修正済みバージョン: PowerPack Addons for Elementor 2.7.21
- ShopLentor – All in One Solution (formerly WooLentor)
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-5530
- インストール数: 100,000+
- 影響を受けるバージョン: ShopLentor <= 2.9.0
- 修正済みバージョン: ShopLentor 2.9.1
- Email Subscribers by Icegram Express
- 深刻度: 中
- 脆弱性: SQLインジェクション
- CVE: CVE-2024-37252
- インストール数: 90,000+
- 影響を受けるバージョン: Email Subscribers by Icegram Express <= 5.7.25
- 修正済みバージョン: Email Subscribers by Icegram Express 5.7.26
- Defender Security – Malware Scanner, Login Security & Firewall
- 深刻度: 中
- 脆弱性: 認証の不備
- CVE: CVE-2022-44581
- インストール数: 90,000+
- 影響を受けるバージョン: Defender Security <= 3.3.2
- 修正済みバージョン: Defender Security 3.3.3
- Slider & Popup Builder by Depicter
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-4390
- インストール数: 90,000+
- 影響を受けるバージョン: Slider & Popup Builder by Depicter <= 3.0.9
- 修正済みバージョン: Slider & Popup Builder by Depicter 3.1.0
- Bookly
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-5584
- インストール数: 70,000+
- 影響を受けるバージョン: WordPress Online Booking and Scheduling Plugin – Bookly <= 23.2
- 修正済みバージョン: WordPress Online Booking and Scheduling Plugin – Bookly 23.3
- Media Library Assistant
- 深刻度: 中
- 脆弱性: SQLインジェクション
- CVE: CVE-2024-5605
- インストール数: 70,000+
- 影響を受けるバージョン: Media Library Assistant <= 3.16
- 修正済みバージョン: Media Library Assistant 3.17
- Sina Extension for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-5036
- インストール数: 50,000+
- 影響を受けるバージョン: Sina Extension for Elementor <= 3.5.4
- 修正済みバージョン: Sina Extension for Elementor 3.5.5
- Ultimate Blocks – WordPress Blocks Plugin
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2023-6692
- インストール数: 50,000+
- 影響を受けるバージョン: Ultimate Blocks <= 3.1.0
- 修正済みバージョン: Ultimate Blocks 3.1.1
- SiteGuard WP Plugin
- 深刻度: 低
- 脆弱性: バイパス脆弱性
- CVE: CVE-2024-37881
- インストール数: 500,000+
- 影響を受けるバージョン: SiteGuard WP Plugin <= 1.7.6
- 修正済みバージョン: SiteGuard WP Plugin 1.7.7
- MetForm
- 深刻度: 低
- 脆弱性: 機密情報の漏洩脆弱性
- CVE: CVE-2024-4266
- インストール数: 300,000+
- 影響を受けるバージョン: MetForm <= 3.8.8
- 修正済みバージョン: MetForm 3.8.9
- Floating Chat Widget Chaty
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4149
- インストール数: 200,000+
- 影響を受けるバージョン: Floating Chat Widget– Chaty <= 3.2.2
- 修正済みバージョン: Floating Chat Widget Chaty 3.2.3
- FooGallery
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-2122
- インストール数: 100,000+
- 影響を受けるバージョン: FooGallery <= 2.4.15
- 修正済みバージョン: FooGallery 2.4.16
- Sassy Social Plugin
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4924
- インストール数: 100,000+
- 影響を受けるバージョン: Sassy Social Share <= 3.3.62
- 修正済みバージョン: Sassy Social Share 3.3.63
- Search & Replace
- 深刻度: 低
- 脆弱性: SQLインジェクション
- CVE: CVE-2024-4145
- インストール数: 100,000+
- 影響を受けるバージョン: Search & Replace <= 3.2.1
- 修正済みバージョン: Search & Replace 3.2.2
- Events Manager
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-3492
- インストール数: 90,000+
- 影響を受けるバージョン: Events Manager – Calendar, Bookings, Tickets, and more! <= 6.4.7
- 修正済みバージョン: Events Manager – Calendar, Bookings, Tickets, and more! 6.4.8
- User Profile Picture
- 深刻度: 低
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-5639
- インストール数: 60,000+
- 影響を受けるバージョン: User Profile Picture <= 2.6.1
- 修正済みバージョン: User Profile Picture 2.6.2
- WP 2FA – Two-factor authentication for WordPress
- 深刻度: 低
- 脆弱性: 機密情報の漏洩脆弱性
- CVE: CVE-2022-44587
- インストール数: 60,000+
- 影響を受けるバージョン: WP 2FA <= 2.6.3
- 修正済みバージョン: WP 2FA 2.6.4
- ConvertKit
- 深刻度: 低
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-3961
- インストール数: 50,000+
- 影響を受けるバージョン: ConvertKit <= 2.4.9
- 修正済みバージョン: ConvertKit 2.4.9.1
- WP Maintenance
- 深刻度: 低
- 脆弱性: バイパス脆弱性
- CVE: CVE-2024-0789
- インストール数: 50,000+
- 影響を受けるバージョン: WP Maintenance <= 6.1.9.2
- 修正済みバージョン: WP Maintenance 6.1.9.3
該当するプラグイン等を導入していた場合は、速やかにアップデートを行うようにしましょう。
脆弱性に対するセキュリティアップデートは、バージョンアップによる不具合が起こりづらい部分なので、比較的安全にアップデートできます。
(ただし、作業前には必ずバックアップを取っておきましょう)
バージョンアップの方法や注意点については、以下の記事を参考にしてください。
WordPressのバージョンアップはなぜ必要なのか?5つの理由を紹介
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!