【2024年7月】WordPress脆弱性情報＆注目ニュース まとめ｜WordPress6.6「Dorsey」が公開！など

WordPress6.6「Dorsey」が公開！

2024年7月17日、WordPress6.6「Dorsey」が公開されました。
今回のネーミングは、アメリカの伝説的なビッグバンドのリーダー「トミー・ドーシー」が由来とのこと。

WordPress6.6の新機能

• ブロックテーマにさらなるデザインオプションが追加
  カラーやフォントのセットを作成して、デザインの組み合わせを増やすことが可能に。
• サイトエディターでの新しいページレイアウトによるワークフローの簡素化
  サイトエディターの新しいレイアウトですべてのページと選択ページのプレビューを確認できるように。
• 安心のプラグイン自動更新
  プラグインの自動更新に問題発生時のロールバック機能が追加。
• 同期パターンのコンテンツのカスタマイズ
  同期パターン内の見出し、段落、ボタン、画像ブロックの上書きが可能に。
• パフォーマンス
  WP_Theme_JSON呼び出しの削除、大きなオプションの自動ロードの無効化、不要な polyfill 依存の削除など、全体で約35%の速度向上
• アクセシビリティ
  アクセシビリティに関する58件の修正と機能強化を実装

アップデートの詳細については、以下の記事を参照。
>>WordPress 6.6 “ドーシー”

WordPress6.6.1 メンテナンスリリースが公開

2024年7月23日に、WordPress6.6.1がリリースされています。

WordPress6.6.1はメンテナンスリリースで、WordPressコアファイルの7件のバグ修正、ブロックエディターの9件のバグ修正が含まれます。

脆弱性等セキュリティ面でのアップデートではありませんが、特に「WordPress6.6」を採用された方は、快適・安全に利用するためにアップデートしておくことを推奨します。

また、WordPress6.6.1はショートサイクルリリースである、ということも公表されており、次回のメジャーリリースは2024年11月とのことです。

自動更新を適用している場合は、更新プロセスが自動で開始されるため、注意しておきましょう。

WordPressのバージョンアップについて、不安がある場合はWordPress保守サービスにご相談ください。

WordPress6.6.1の詳細については、以下の記事を参照。
>>WordPress 6.6.1メンテナンスリリース

2024年7月度のWordPress脆弱性情報

ここからは2024年7月度に発見された脆弱性をご紹介します。
今月はWordPressやプラグインに関連する脆弱性が48個発見されました。

自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストール、代替プラグインへの差し替えなどの対策を行いましょう。

プラグインの脆弱性情報

• Redux Framework
• 深刻度: 緊急
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-6828
• インストール数: 1,000,000+
• 影響を受けるバージョン: Redux Framework <= 4.4.17
• 修正済みバージョン: Redux Framework 4.4.18

• HUSKY
• 深刻度: 緊急
• 脆弱性: SQLインジェクション
• CVE: CVE-2024-6457
• インストール数: 100,000+
• 影響を受けるバージョン: HUSKY <= 1.3.6
• 修正済みバージョン: HUSKY 1.3.6.1

• User Feedback
• 深刻度: 高
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-5902
• インストール数: 200,000+
• 影響を受けるバージョン: User Feedback <= 1.0.15
• 修正済みバージョン: User Feedback 1.0.16

• Inline Related Posts
• 深刻度: 高
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-5626
• インストール数: 100,000+
• 影響を受けるバージョン: Inline Related Posts <= 3.6.9
• 修正済みバージョン: Inline Related Posts 3.7.0

• CTX Feed
• 深刻度: 高
• 脆弱性: 権限の昇格
• CVE: CVE-2024-38775
• インストール数: 100,000+
• 影響を受けるバージョン: CTX Feed <= 6.5.6
• 修正済みバージョン: CTX Feed 6.5.7

• Paid Memberships Pro
• 深刻度: 高
• 脆弱性: SQLインジェクション
• CVE: CVE-2024-37486
• インストール数: 90,000+
• 影響を受けるバージョン: Paid Memberships Pro <= 3.0.5
• 修正済みバージョン: Paid Memberships Pro 3.0.6

• Media Library Assistant
• 深刻度: 高
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-5544
• インストール数: 70,000+
• 影響を受けるバージョン: Media Library Assistant <= 3.17
• 修正済みバージョン: Media Library Assistant 3.18

• Elementor Header & Footer Builder
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-33933
• インストール数: 2,000,000+
• 影響を受けるバージョン: Elementor Header & Footer Builder <= 1.6.35
• 修正済みバージョン: Elementor Header & Footer Builder 1.6.36

• Duplicator Migration & Backup Plugin
• 深刻度: 中
• 脆弱性: セキュリティの設定ミス
• CVE: CVE-2024-6210
• インストール数: 1,000,000+
• 影響を受けるバージョン: Duplicator <= 1.5.9
• 修正済みバージョン: Duplicator 1.5.10

• ElementsKit Elementor addons
• 深刻度: 中
• 脆弱性: 機密データの漏洩
• CVE: CVE-2024-6455
• インストール数: 1,000,000+
• 影響を受けるバージョン: ElementsKit Elementor addons <= 3.2.0
• 修正済みバージョン: ElementsKit Elementor addons 3.2.1

• Security Optimizer
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2024-38774
• インストール数: 1,000,000+
• 影響を受けるバージョン: Security Optimizer <= 1.5.0
• 修正済みバージョン: Security Optimizer 1.5.1

• Ninja Forms
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2024-37934
• インストール数: 800,000+
• 影響を受けるバージョン: Ninja Forms <= 3.8.4
• 修正済みバージョン: Ninja Forms 3.8.5

• Spectra
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2024-37517
• インストール数: 800,000+
• 影響を受けるバージョン: Spectra <= 2.13.7
• 修正済みバージョン: Spectra 2.13.8

• Premium Addons for Elementor
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-6495
• インストール数: 700,000+
• 影響を受けるバージョン: Premium Addons for Elementor <= 4.10.36
• 修正済みバージョン: Premium Addons for Elementor 4.10.37

• Easy Table of Contents
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-6334
• インストール数: 500,000+
• 影響を受けるバージョン: Easy Table of Contents <= 2.0.67
• 修正済みバージョン: Easy Table of Contents 2.0.67.1

• Gutenberg
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-37492
• インストール数: 300,000+
• 影響を受けるバージョン: Gutenberg <= 18.6.0
• 修正済みバージョン: Gutenberg 18.6.1

• HT Mega – Absolute Addons For Elementor
• 深刻度: 中
• 脆弱性: パストラバーサル
• CVE: CVE-2024-38706
• インストール数: 100,000+
• 影響を受けるバージョン: HT Mega <= 2.5.7
• 修正済みバージョン: HT Mega 2.5.8

• WordPress MaxButtons
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-3026
• インストール数: 100,000+
• 影響を受けるバージョン: MaxButtons <= 9.7.7
• 修正済みバージョン: MaxButtons 9.7.8

• Element Pack Elementor Addons
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-5555
• インストール数: 100,000+
• 影響を受けるバージョン: Element Pack Elementor Addons <= 5.6.5
• 修正済みバージョン: Element Pack Elementor Addons 5.6.6

• Schema & Structured Data for WP & AMP
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-5582
• インストール数: 100,000+
• 影響を受けるバージョン: Schema & Structured Data for WP & AMP <= 1.34.0
• 修正済みバージョン: Schema & Structured Data for WP & AMP 1.34.1

• Mercado Pago payments for WooCommerce
• 深刻度: 中
• 脆弱性: 任意ファイルダウンロード
• CVE: CVE-2024-3934
• インストール数: 100,000+
• 影響を受けるバージョン: Mercado Pago <= 7.6.1
• 修正済みバージョン: Mercado Pago 7.6.2

• Beaver Builder
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-37500
• インストール数: 100,000+
• 影響を受けるバージョン: Beaver Builder <= 2.8.2
• 修正済みバージョン: Beaver Builder 2.8.3

• The Plus Addons for Elementor
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-4482
• インストール数: 100,000+
• 影響を受けるバージョン: The Plus Addons for Elementor <= 5.6.1
• 修正済みバージョン: The Plus Addons for Elementor 5.6.2

• Featured Image from URL (FIFU)
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2024-37516
• インストール数: 90,000+
• 影響を受けるバージョン: FIFU <= 4.8.2
• 修正済みバージョン: FIFU 4.8.3

• LearnPress
• 深刻度: 中
• 脆弱性: ローカルファイルインクルージョン
• CVE: CVE-2024-6589
• インストール数: 90,000+
• 影響を受けるバージョン: LearnPress <= 4.2.6.8.2
• 修正済みバージョン: LearnPress 4.2.6.9

• Email Subscribers by Icegram Express
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2024-5703
• インストール数: 90,000+
• 影響を受けるバージョン: Email Subscribers by Icegram Express <= 5.7.26
• 修正済みバージョン: Email Subscribers by Icegram Express 5.7.27

• EmbedPress
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2024-38707
• インストール数: 90,000+
• 影響を受けるバージョン: EmbedPress <= 4.0.4
• 修正済みバージョン: EmbedPress 4.0.5

• Brizy Page Builder
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2024-1937
• インストール数: 80,000+
• 影響を受けるバージョン: Brizy <= 2.4.44
• 修正済みバージョン: Brizy 2.4.45

• YITH WooCommerce Ajax Product Filter
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-37943
• インストール数: 80,000+
• 影響を受けるバージョン: YITH WooCommerce Ajax Product Filter <= 5.1.9
• 修正済みバージョン: YITH WooCommerce Ajax Product Filter 5.2.0

• Booking for Appointments and Events Calendar Amelia
• 深刻度: 中
• 脆弱性: バックドア
• インストール数: 70,000+
• 影響を受けるバージョン: Amelia <= 1.1.8
• 修正済みバージョン: Amelia 1.1.9

• Form Maker by 10Web
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-6130
• インストール数: 50,000+
• 影響を受けるバージョン: Form Maker by 10Web <= 1.15.25
• 修正済みバージョン: Form Maker by 10Web 1.15.26

• Sina Extension for Elementor
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-5260
• インストール数: 50,000+
• 影響を受けるバージョン: Sina Extension for Elementor <= 3.5.5
• 修正済みバージョン: Sina Extension for Elementor 3.5.6

• Pixel Manager for WooCommerce
• 深刻度: 中
• 脆弱性: バックドア
• インストール数: 50,000+
• 影響を受けるバージョン: Pixel Manager for WooCommerce <= 1.43.3
• 修正済みバージョン: Pixel Manager for WooCommerce 1.43.4

• Premium Portfolio Features for Phlox theme
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-3587
• インストール数: 50,000+
• 影響を受けるバージョン: Premium Portfolio Features for Phlox theme <= 2.3.2
• 修正済みバージョン: Premium Portfolio Features for Phlox theme 2.3.3

• Getwid Gutenberg Blocks
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2024-6491
• インストール数: 50,000+
• 影響を受けるバージョン: Getwid <= 2.0.10
• 修正済みバージョン: Getwid 2.0.11

• RSS Aggregator
• 深刻度: 中
• 脆弱性: アクセス制御の不備
• CVE: CVE-2024-6621
• インストール数: 50,000+
• 影響を受けるバージョン: RSS Aggregator <= 4.23.11
• 修正済みバージョン: RSS Aggregator 4.23.12

• WP Mail SMTP by WPForms
• 深刻度: 低
• 脆弱性: 機密データの漏洩
• CVE: CVE-2024-6694
• インストール数: 3,000,000+
• 影響を受けるバージョン: WP Mail SMTP by WPForms <= 4.0.9
• 修正済みバージョン: WP Mail SMTP by WPForms 4.1.0

• Rank Math SEO
• 深刻度: 低
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-4627
• インストール数: 2,000,000+
• 影響を受けるバージョン: Rank Math SEO <= 1.0.218
• 修正済みバージョン: Rank Math SEO 1.0.219

• WPS Hide Login
• 深刻度: 低
• 脆弱性: バイパス脆弱性
• CVE: CVE-2024-6289
• インストール数: 1,000,000+
• 影響を受けるバージョン: WPS Hide Login <= 1.9.16.3
• 修正済みバージョン: WPS Hide Login 1.9.16.4

• Ocean Extra
• 深刻度: 低
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-37489
• インストール数: 600,000+
• 影響を受けるバージョン: Ocean Extra <= 2.2.9
• 修正済みバージョン: Ocean Extra 2.3.0

• NextGEN Gallery
• 深刻度: 低
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-39627
• インストール数: 500,000+
• 影響を受けるバージョン: NextGEN Gallery <= 3.59.3
• 修正済みバージョン: NextGEN Gallery 3.59.4

• Unlimited Elements For Elementor
• 深刻度: 低
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-6169
• インストール数: 200,000+
• 影響を受けるバージョン: Unlimited Elements For Elementor <= 1.5.112
• 修正済みバージョン: Unlimited Elements For Elementor 1.5.113

• Feeds for YouTube
• 深刻度: 低
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-6256
• インストール数: 100,000+
• 影響を受けるバージョン: Feeds for YouTube <= 2.2.1
• 修正済みバージョン: Feeds for YouTube 2.2.2

• GiveWP
• 深刻度: 低
• 脆弱性: 不適切な直接オブジェクト参照(IDOR)
• CVE: CVE-2024-5977
• インストール数: 100,000+
• 影響を受けるバージョン: GiveWP <= 3.13.9
• 修正済みバージョン: GiveWP 3.14.0

• The Post Grid
• 深刻度: 低
• 脆弱性: アクセス制御の不備
• CVE: CVE-2024-37483
• インストール数: 90,000+
• 影響を受けるバージョン: The Post Grid <= 7.7.4
• 修正済みバージョン: The Post Grid 7.7.5

• Tutor LMS
• 深刻度: 低
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-37947
• インストール数: 90,000+
• 影響を受けるバージョン: Tutor LMS <= 2.7.2
• 修正済みバージョン: Tutor LMS 2.7.3

• Ultimate Blocks Gutenberg Blocks
• 深刻度: 低
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-4655
• インストール数: 50,000+
• 影響を受けるバージョン: Ultimate Blocks <= 3.1.9
• 修正済みバージョン: Ultimate Blocks 3.2.0

• Image Hover Effects – Elementor Addon
• 深刻度: 低
• 脆弱性: クロスサイトスクリプティング（XSS）
• CVE: CVE-2024-4780
• インストール数: 50,000+
• 影響を受けるバージョン: Image Hover Effects – Elementor Addon <= 1.4.3
• 修正済みバージョン: Image Hover Effects – Elementor Addon 1.4.4

WordPress保守・運用のパートナーなら「wp.support」にお任せ！

WordPressサイトを運用していて、以下のようなお悩みはありませんか？

• 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
• サイトのUI/UXを改善したいけれど、自社内では難しい…
• WordPressサイトを高速化したいけれど、ノウハウがない…
• セキュリティ対策をしたいけれど、知識のある人材がいない…
• 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
• ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する