基礎知識 2024.09.03 2024.09.03
【2024年8月】WordPress脆弱性情報&注目ニュース まとめ|LiteSpeed Cacheプラグイン脆弱性修正に過去最高の報奨金授与!など
目次
LiteSpeed Cacheプラグイン脆弱性修正に過去最高の報奨金授与!
Webサイトの表示スピードやパフォーマンスの向上のために、世界で500万サイト以上で活用されている「LiteSpeed Cache」プラグインについて、重大な「認証されていない権限昇格」の脆弱性 (CVE-2024-28000) が発見、修正されました。
この脆弱性を発見し、報告したのは、Patchstack AllianceコミュニティのメンバーであるJohn Blackbourn氏。WordPressのバグ・脆弱性を発見した人物には賞金が支払われますが、今回、John Blackbourn氏に支払われたのは過去最高となる14,400ドルとのこと。
脆弱性自体がCVSSスコア9.8という重大なものであるとともに、500万以上のサイトで利用されていて影響も極めて大きいので、この賞金額についても納得です。
もし、「LiteSpeed Cacheプラグイン」をインストールしている場合は、早急なアップデートを推奨します。
被害拡大中?「Super Socializer」の偽プラグイン「Super Socialat」とは?
最近、「Super Socialat」という偽プラグインによる被害が広がっているという情報があります。
まだ弊社では確認できていないので、被害は海外中心の可能性もありますが、ご紹介しておきます。
「Super Socialat」プラグインは、WordPressサイトに不正アクセスをおこなうためのバックドアとして機能する偽のプラグインです。このプラグインは、公式のWordPressプラグインディレクトリには存在せず、正規のプラグイン「Super Socializer」の名前や説明で偽装されています。
プラグイン一覧に「Super Socializer」プラグインが表示され、サーバー内のフォルダ名が「super-socialat」となっている場合は、偽のプラグインとなります。
これが有効になっている場合は、不正アクセスからファイルの編集、削除、追加などが不正に実行される可能性があるため、すぐにプラグインを停止してフォルダを削除してください。また、他に追加されたマルウェアがないかを確認することを推奨します。
もし、自社での対応が難しい場合には、弊社で「WordPressセキュリティ・脆弱性診断」サービスを提供していますのでお気軽にご相談ください。
2024年8月度のWordPress脆弱性情報
ここからは2024年8月度に発見された脆弱性をご紹介します。
今月はWordPressやプラグインに関連する脆弱性が49個発見されました。
自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストール、代替プラグインへの差し替えなどの対策を行いましょう。
特に「LiteSpeed Cache」は、深刻度が高く、国内で導入しているサイトも多いので、注意してください。
プラグインの脆弱性情報
- LiteSpeed Cache
- 深刻度: 緊急
- 脆弱性: 権限の昇格
- CVE: CVE-2024-28000
- インストール数: 5,000,000+
- 影響を受けるバージョン: LiteSpeed Cache <= 6.3.0.1
- 修正済みバージョン: LiteSpeed Cache 6.4
- Easy Digital Downloads
- 深刻度: 緊急
- 脆弱性: SQLi
- CVE: CVE-2024-5057
- インストール数: 50,000+
- 影響を受けるバージョン: Easy Digital Downloads <= 3.2.12
- 修正済みバージョン: Easy Digital Downloads 3.3.1
- Meta Box
- 深刻度: 高
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-43235
- インストール数: 600,000+
- 影響を受けるバージョン: Meta Box <= 5.9.10
- 修正済みバージョン: Meta Box 5.9.11
- White Label CMS
- 深刻度: 高
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-43303
- インストール数: 200,000+
- 影響を受けるバージョン: White Label CMS <= 2.7.4
- 修正済みバージョン: White Label CMS 2.7.5
- SEO Plugin by Squirrly SEO
- 深刻度: 高
- 脆弱性: SQLインジェクション
- CVE: CVE-2024-43286
- インストール数: 100,000+
- 影響を受けるバージョン: SEO Plugin by Squirrly SEO <= 12.3.19
- 修正済みバージョン: SEO Plugin by Squirrly SEO 12.3.20
- Essential Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-7092
- インストール数: 2,000,000+
- 影響を受けるバージョン: Essential Addons for Elementor <= 5.9.27
- 修正済みバージョン: Essential Addons for Elementor 6.0.0
- Spectra
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-7590
- インストール数: 900,000+
- 影響を受けるバージョン: Spectra <= 2.14.1
- 修正済みバージョン: Spectra 2.15.1
- Popup Maker
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-7054
- インストール数: 700,000+
- 影響を受けるバージョン: Popup Maker <= 1.19.0
- 修正済みバージョン: Popup Maker 1.19.1
- Premium Addons for Elementor
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-6824
- インストール数: 700,000+
- 影響を受けるバージョン: Premium Addons for Elementor <= 4.10.38
- 修正済みバージョン: Premium Addons for Elementor 4.10.39
- SiteOrigin Widgets Bundle
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-5901
- インストール数: 600,000+
- 影響を受けるバージョン: SiteOrigin Widgets Bundle <= 1.62.2
- 修正済みバージョン: SiteOrigin Widgets Bundle 1.62.3
- Easy Table of Contents
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-7082
- インストール数: 500,000+
- 影響を受けるバージョン: Easy Table of Contents <= 2.0.67.1
- 修正済みバージョン: Easy Table of Contents 2.0.68
- Formidable Forms
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-6725
- インストール数: 400,000+
- 影響を受けるバージョン: Formidable Forms <= 6.11.1
- 修正済みバージョン: Formidable Forms 6.11.2
- Gutenberg Blocks with AI by Kadence WP
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-6884
- インストール数: 400,000+
- 影響を受けるバージョン: Gutenberg Blocks with AI by Kadence WP <= 3.2.38
- 修正済みバージョン: Gutenberg Blocks with AI by Kadence WP 3.2.39
- Fonts Plugin
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-43302
- インストール数: 200,000+
- 影響を受けるバージョン: Fonts Plugin <= 3.7.7
- 修正済みバージョン: Fonts Plugin 3.7.8
- Download Manager
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-6208
- インストール数: 100,000+
- 影響を受けるバージョン: Download Manager <= 3.2.97
- 修正済みバージョン: Download Manager 3.2.98
- Essential Blocks
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-5595
- インストール数: 100,000+
- 影響を受けるバージョン: Essential Blocks < 4.7.0
- 修正済みバージョン: Essential Blocks 4.7.0
- DearFlip
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4367
- インストール数: 100,000+
- 影響を受けるバージョン: DearFlip <= 2.2.55
- 修正済みバージョン: DearFlip 2.2.56
- AMP for WP
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-43146
- インストール数: 100,000+
- 影響を受けるバージョン: AMP for WP <= 1.0.96.1
- 修正済みバージョン: AMP for WP 1.0.97
- Aruba HiSpeed Cache
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-43119
- インストール数: 100,000+
- 影響を受けるバージョン: Aruba HiSpeed Cache <= 2.0.12
- 修正済みバージョン: Aruba HiSpeed Cache 2.0.13
- Element Pack Elementor Addons
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-7247
- インストール数: 100,000+
- 影響を受けるバージョン: Element Pack Elementor Addons <= 5.7.2
- 修正済みバージョン: Element Pack Elementor Addons 5.7.3
- Slider & Popup Builder by Depicter
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-43161
- インストール数: 100,000+
- 影響を受けるバージョン: Slider & Popup Builder by Depicter <= 3.1.2
- 修正済みバージョン: Slider & Popup Builder by Depicter 3.2.0
- FooBox
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-5668
- インストール数: 100,000+
- 影響を受けるバージョン: FooBox <= 2.7.28
- 修正済みバージョン: FooBox 2.7.32
- Hummingbird Performance
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-43118
- インストール数: 100,000+
- 影響を受けるバージョン: Hummingbird Performance <= 3.9.1
- 修正済みバージョン: Hummingbird Performance 3.9.2
- Robin image optimizer
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-43122
- インストール数: 100,000+
- 影響を受けるバージョン: Robin image optimizer <= 1.6.9
- 修正済みバージョン: Robin image optimizer 1.7.0
- GiveWP
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-5940, CVE-2024-5939
- インストール数: 100,000+
- 影響を受けるバージョン: GiveWP <= 3.13.9
- 修正済みバージョン: GiveWP 3.14.0
- The Ultimate Video Player For WordPress
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-43285
- インストール数: 100,000+
- 影響を受けるバージョン: The Ultimate Video Player For WordPress <= 3.0.2
- 修正済みバージョン: The Ultimate Video Player For WordPress 3.0.3
greater.
- The Plus Addons for Elementor
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-5763
- インストール数: 100,000+
- 影響を受けるバージョン: The Plus Addons for Elementor <= 5.6.2
- 修正済みバージョン: The Plus Addons for Elementor 5.6.3
- Asset CleanUp: Page Speed Booster
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-43314
- インストール数: 100,000+
- 影響を受けるバージョン: Asset CleanUp: Page Speed Booster <= 1.3.9.3
- 修正済みバージョン: Asset CleanUp: Page Speed Booster 1.3.9.4
- Social Feed Gallery
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-39640
- インストール数: 90,000+
- 影響を受けるバージョン: Social Feed Gallery <= 4.3.9
- 修正済みバージョン: Social Feed Gallery 4.4.0
- WP Mobile Menu
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-2508
- インストール数: 90,000+
- 影響を受けるバージョン: WP Mobile Menu <= 2.8.4.4
- 修正済みバージョン: WP Mobile Menu 2.8.5
- LearnPress
- 深刻度: 中
- 脆弱性: SQLインジェクション
- CVE: CVE-2024-7548
- インストール数: 90,000+
- 影響を受けるバージョン: LearnPress <= 4.2.6.9.3
- 修正済みバージョン: LearnPress 4.2.6.9.4
- Tutor LMS
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-43231
- インストール数: 90,000+
- 影響を受けるバージョン: Tutor LMS <= 2.7.3
- 修正済みバージョン: Tutor LMS 2.7.4
- Tutor LMS
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-43142
- インストール数: 90,000+
- 影響を受けるバージョン: Tutor LMS <= 2.7.3
- 修正済みバージョン: Tutor LMS 2.7.4
- Folders
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-7317
- インストール数: 80,000+
- 影響を受けるバージョン: Folders <= 3.0.3
- 修正済みバージョン: Folders 3.0.4
- 3D FlipBook
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-43152
- インストール数: 70,000+
- 影響を受けるバージョン: 3D FlipBook <= 1.15.6
- 修正済みバージョン: 3D FlipBook 1.15.7
- Clone
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-43298
- インストール数: 70,000+
- 影響を受けるバージョン: Clone <= 2.4.5
- 修正済みバージョン: Clone 2.4.6
- FOX
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-43297
- インストール数: 60,000+
- 影響を受けるバージョン: FOX <= 1.4.2
- 修正済みバージョン: FOX 1.4.2.1
- WP Table Builder
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-43125
- インストール数: 60,000+
- 影響を受けるバージョン: WP Table Builder <= 1.4.15
- 修正済みバージョン: WP Table Builder 1.5.0
- Blog2Social
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-7302
- インストール数: 60,000+
- 影響を受けるバージョン: Blog2Social <= 7.5.4
- 修正済みバージョン: Blog2Social 7.5.5
- Bold Page Builder
- 深刻度: 中
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-7100
- インストール数: 50,000+
- 影響を受けるバージョン: Bold Page Builder <= 5.0.2
- 修正済みバージョン: Bold Page Builder 5.0.3
- User Profile Builder
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-6366
- インストール数: 50,000+
- 影響を受けるバージョン: User Profile Builder <= 3.11.7
- 修正済みバージョン: User Profile Builder 3.11.8
- Easy Digital Downloads
- 深刻度: 中
- 脆弱性: アクセス制御の不備
- CVE: CVE-2024-43162
- インストール数: 50,000+
- 影響を受けるバージョン: Easy Digital Downloads <= 3.2.12
- 修正済みバージョン: Easy Digital Downloads 3.3.1
- WooCommerce
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-39666
- インストール数: 7,000,000+
- 影響を受けるバージョン: WooCommerce <= 9.1.2
- 修正済みバージョン: WooCommerce 9.1.3
- Inline Related Posts
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-6487
- インストール数: 100,000+
- 影響を受けるバージョン: Inline Related Posts < 3.8.0
- 修正済みバージョン: Inline Related Posts 3.8.0
- My Sticky Bar
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4090
- インストール数: 100,000+
- 影響を受けるバージョン: My Sticky Bar (formerly myStickymenu) <= 2.7.1
- 修正済みバージョン: My Sticky Bar (formerly myStickymenu) 2.7.2
- Email Encoder
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-4483
- インストール数: 90,000+
- 影響を受けるバージョン: Email Encoder <= 2.2.1
- 修正済みバージョン: Email Encoder 2.2.2
- Ajax Search Lite
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-7084
- インストール数: 80,000+
- 影響を受けるバージョン: Ajax Search Lite <= 4.12
- 修正済みバージョン: Ajax Search Lite 4.12.1
- Category Posts Widget
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-6158
- インストール数: 50,000+
- 影響を受けるバージョン: Category Posts Widget <= 4.9.16
- 修正済みバージョン: Category Posts Widget 4.9.17
- Easy Digital Downloads
- 深刻度: 低
- 脆弱性: クロスサイトスクリプティング(XSS)
- CVE: CVE-2024-6692
- インストール数: 50,000+
- 影響を受けるバージョン: Easy Digital Downloads <= 3.3.2
- 修正済みバージョン: Easy Digital Downloads 3.3.3
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!