基礎知識 2024.10.02

【2024年9月】WordPress脆弱性情報&注目ニュース まとめ|WordPress.orgとWP Engineが対立|ユーザーのセキュリティに影響する事態になど

この記事を書いた人

株式会社e2e wp.geek編集部

WordPressサイト制作サービス「wp.make」やWordPress保守・運用サービス「wp.support」などを展開する株式会社e2eの情報発信チームです。お客様の課題解決に役立つ、WordPressの最新情報をお届けいたします。

WordPress.orgとWP Engineが対立|ユーザーのセキュリティに影響する事態に

WordPress.orgと大手ホスティングサービスWP Engineの対立が激化しています。

WordPress.orgは、WP Engineのサーバーからのリソースへのアクセスを遮断し、同社がホスティングするサイトの自動更新についても停止しました。また、これによって影響を受けるユーザーに対して他のホスティングプロバイダーへの移行を検討するよう促しています。

WordPress.orgのこれらの措置は、WP EngineがWordPressのコア機能を独自に変更したこと、さらに批判を回避するためにダッシュボード上のニュースウィジェットを無効にしていたことに対する報復と主張しています。WordPress.orgの共同創設者であるマット・マレンウェグ氏は、WP EngineがWordPressのリソースを無料で利用しながら十分な貢献をしていないと批判し、商標ライセンス料の支払いを求めました。

WP Engine側は、これまでの貢献や投資をアピールするとともに、WordPress.org(マット・マレンウェグ氏)の要求を拒否して法的措置に踏み切っています。

現在、WordPress.orgは一時的にWP Engineからのアクセス制限を解除していますが、根本的な解決には至っていません。
WP EngineでWordPressサイトをホストしているユーザーは日本国内にも多数いると思われますので、今後の動向に注目されます。

参照元:WP Engine is banned from WordPress.org(WordPress.org公式)
参照元:Highlighting Over a Decade of Innovation and Contribution to the WordPress Community(WP Engine公式)
参照元:Enterprise Technology News and Analysis
参照元:BleepingComputer

プラグイン・テーマ制作者に二段階認証を義務化

2024年10月1日より、WordPressは全てのプラグインおよびテーマ開発者に対して二段階認証(2FA)の設定を義務化しました。
これは、開発者アカウントが不正アクセスされることで発生するサプライチェーン攻撃のリスクを軽減し、WordPressコミュニティ全体のセキュリティを強化することが目的です。

2FAは、認証アプリ(Google AuthenticatorやAuthyなど)またはハードウェアキー(YubiKeyなど)を使って設定でき、SVN(Subversion)パスワードを別途設定することで、認証情報の分離を図っています。

WordPressは「これらのアカウントを保護することが、プラットフォームの信頼と安全性の維持に不可欠」としています。
プラグイン・テーマの開発者の方は、早急な対応が必要です。

参照元:Upcoming Security Changes for Plugin and Theme Authors on WordPress.org

2024年9月度のWordPress脆弱性情報

ここからは2024年9月度に発見された脆弱性をご紹介します。
今月はWordPressやプラグインに関連する脆弱性が65個発見されました。

自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストール、代替プラグインへの差し替えなどの対策を行いましょう。

特に8月にも脆弱性が見つかった「LiteSpeed Cache」ですが、9月にも深刻度が高い脆弱性が見つかっています。
国内で導入しているサイトも多いため、注意してください。

プラグインの脆弱性情報

  • LiteSpeed Cache
  • 深刻度: 緊急
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2024-44000
  • インストール数: 6,000,000+
  • 影響を受けるバージョン: LiteSpeed Cache <= 6.5.0
  • 修正済みバージョン: LiteSpeed Cache 6.5.0.1
  • LearnPress – WordPress LMS Plugin
  • 深刻度: 緊急
  • 脆弱性: SQLインジェクション
  • CVE: CVE-2024-8522
  • インストール数: 90,000+
  • 影響を受けるバージョン: LearnPress – WordPress LMS Plugin <= 4.2.7
  • 修正済みバージョン: LearnPress – WordPress LMS Plugin 4.2.7.1
  • LearnPress – WordPress LMS Plugin
  • 深刻度: 緊急
  • 脆弱性: SQLインジェクション
  • CVE: CVE-2024-8529
  • インストール数: 90,000+
  • 影響を受けるバージョン: LearnPress – WordPress LMS Plugin <= 4.2.7
  • 修正済みバージョン: LearnPress – WordPress LMS Plugin 4.2.7.1
  • Migration, Backup, Staging – WPvivid
  • 深刻度: 高
  • 脆弱性: 機密データの漏えい
  • CVE: CVE-2024-7315
  • インストール数: 500,000+
  • 影響を受けるバージョン: WPvivid <= 0.9.105
  • 修正済みバージョン: WPvivid 0.9.106
  • FOX – Currency Switcher Professional for WooCommerce
  • 深刻度: 高
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2024-8271
  • インストール数: 60,000+
  • 影響を受けるバージョン: FOX – Currency Switcher Professional for WooCommerce <= 1.4.2.1
  • 修正済みバージョン: FOX – Currency Switcher Professional for WooCommerce 1.4.2.2
  • Attire
  • 深刻度: 高
  • 脆弱性: PHPオブジェクトインジェクション
  • CVE: CVE-2024-7435
  • Number of Downloads: 72,378
  • 影響を受けるバージョン: Attire <= 2.0.6
  • 修正済みバージョン: Attire 2.0.7
  • Contact Form Plugin by Fluent Forms
  • 深刻度: 中
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2024-5053
  • インストール数: 400,000+
  • 影響を受けるバージョン: Fluent Forms <= 5.1.18
  • 修正済みバージョン: Fluent Forms 5.1.19
  • PixelYourSite
  • 深刻度: 中
  • 脆弱性: 機密データの漏えい
  • CVE: CVE-2024-7870
  • インストール数: 400,000+
  • 影響を受けるバージョン: PixelYourSite <= 9.7.1
  • 修正済みバージョン: PixelYourSite 9.7.2
  • Backuply
  • 深刻度: 中
  • 脆弱性: SQLインジェクション
  • CVE: CVE-2024-8669
  • インストール数: 200,000+
  • 影響を受けるバージョン: Backuply <= 1.3.4
  • 修正済みバージョン: Backuply 1.3.5
  • Responsive Lightbox & Gallery
  • 深刻度: 中
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2024-43924
  • インストール数: 200,000+
  • 影響を受けるバージョン: Responsive Lightbox & Gallery <= 2.4.7
  • 修正済みバージョン: Responsive Lightbox & Gallery 2.4.8
  • Popup Builder
  • 深刻度: 中
  • 脆弱性: 機密データの漏えい
  • CVE: CVE-2024-2541
  • インストール数: 200,000+
  • 影響を受けるバージョン: Popup Builder <= 4.3.3
  • 修正済みバージョン: No Fix
  • Envira Photo Gallery
  • 深刻度: 中
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2024-43925
  • インストール数: 100,000+
  • 影響を受けるバージョン: Envira Photo Gallery <= 1.8.14
  • 修正済みバージョン: Envira Photo Gallery 1.8.15
  • GiveWP
  • 深刻度: 中
  • 脆弱性: 機密データの漏えい
  • CVE: CVE-2024-6551
  • インストール数: 100,000+
  • 影響を受けるバージョン: GiveWP <= 3.15.9
  • 修正済みバージョン: GiveWP 3.16.0
  • Ivory Search – WordPress Search Plugin
  • 深刻度: 中
  • 脆弱性: 機密データの漏えい
  • CVE: CVE-2024-6835
  • インストール数: 100,000+
  • 影響を受けるバージョン: Ivory Search – WordPress Search Plugin <= 5.5.6
  • 修正済みバージョン: Ivory Search – WordPress Search Plugin 5.5.7
  • NitroPack
  • 深刻度: 中
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2024-43922
  • インストール数: 100,000+
  • 影響を受けるバージョン: NitroPack <= 1.16.7
  • 修正済みバージョン: NitroPack 1.16.8
  • The Plus Addons for Elementor
  • 深刻度: 中
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2024-43932
  • インストール数: 100,000+
  • 影響を受けるバージョン: The Plus Addons for Elementor <= 5.6.2
  • 修正済みバージョン: The Plus Addons for Elementor – 5.6.3
  • The Post Grid
  • 深刻度: 中
  • 脆弱性: 機密データの漏えい
  • CVE: CVE-2024-7418
  • インストール数: 100,000+
  • 影響を受けるバージョン: The Post Grid <= 7.7.11
  • 修正済みバージョン: The Post Grid – 7.7.12
  • WooCommerce Multilingual & Multicurrency with WPML
  • 深刻度: 中
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2024-44006
  • インストール数: 100,000+
  • 影響を受けるバージョン: WooCommerce Multilingual & Multicurrency with WPML <= 5.3.6
  • 修正済みバージョン: WooCommerce Multilingual & Multicurrency with WPML 5.3.7
  • LiteSpeed Cache
  • 深刻度: 緊急
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2024-44000
  • インストール数: 6,000,000+
  • 影響を受けるバージョン: LiteSpeed Cache <= 6.5.0
  • 修正済みバージョン: LiteSpeed Cache 6.5.0.1
  • LearnPress – WordPress LMS Plugin
  • 深刻度: 緊急
  • 脆弱性: SQLインジェクション
  • CVE: CVE-2024-8522
  • インストール数: 90,000+
  • 影響を受けるバージョン: LearnPress – WordPress LMS Plugin <= 4.2.7
  • 修正済みバージョン: LearnPress – WordPress LMS Plugin 4.2.7.1
  • LearnPress – WordPress LMS Plugin
  • 深刻度: 緊急
  • 脆弱性: SQLインジェクション
  • CVE: CVE-2024-8529
  • インストール数: 90,000+
  • 影響を受けるバージョン: LearnPress – WordPress LMS Plugin <= 4.2.7
  • 修正済みバージョン: LearnPress – WordPress LMS Plugin 4.2.7.1
  • YARPP – Yet Another Related Posts Plugin
  • 深刻度: 中
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2024-43919
  • インストール数: 100,000+
  • 影響を受けるバージョン: YARPP – Yet Another Related Posts Plugin <= 5.30.10
  • 修正済みバージョン: No Fix
  • Ninja Tables – Easiest Data Table Builder
  • 深刻度: 中
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2024-7304
  • インストール数: 90,000+
  • 影響を受けるバージョン: Ninja Tables – Easiest Data Table Builder <= 5.0.12
  • 修正済みバージョン: Ninja Tables – Easiest Data Table Builder 5.0.13
  • Permalink Manager Lite
  • 深刻度: 中
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2024-8195
  • インストール数: 90,000+
  • 影響を受けるバージョン: Permalink Manager Lite <= 2.4.4
  • 修正済みバージョン: Permalink Manager Lite 2.4.4.1
  • AI Engine
  • 深刻度: 中
  • 脆弱性: SQLインジェクション
  • CVE: CVE-2024-6723
  • インストール数: 80,000+
  • 影響を受けるバージョン: AI Engine <= 2.4.7
  • 修正済みバージョン: AI Engine 2.4.8
  • WP ULike – The Ultimate Engagement Toolkit for Websites
  • 深刻度: 中
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2024-6792
  • インストール数: 80,000+
  • 影響を受けるバージョン: WP ULike – The Ultimate Engagement Toolkit for Websites <= 4.7.2
  • 修正済みバージョン: WP ULike – The Ultimate Engagement Toolkit for Websites 4.7.2.1
  • Reviews Feed
  • 深刻度: 中
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2024-8199
  • インストール数: 70,000+
  • 影響を受けるバージョン: Reviews Feed <= 1.1.9
  • 修正済みバージョン: Reviews Feed 1.2.0
  • FotaWP
  • 深刻度: 中
  • 脆弱性: アクセス制御の不備
  • CVE: CVE-2024-43980
  • Number of Downloads: 146,783
  • 影響を受けるバージョン: FotaWP <= 1.4.1
  • 修正済みバージョン: FotaWP 1.4.2
  • W3 Total Cache
  • 深刻度: 低
  • 脆弱性: 機密データの漏えい
  • CVE: CVE-2023-5359
  • インストール数: 1,000,000+
  • 影響を受けるバージョン: W3 Total Cache <= 2.7.5
  • 修正済みバージョン: W3 Total Cache 2.7.6
  • Page Builder: Pagelayer – Drag and Drop website builder
  • 深刻度: 低
  • 脆弱性: クロスサイトスクリプティング(XSS)
  • CVE: CVE-2024-43972
  • インストール数: 100,000+
  • 影響を受けるバージョン: Page Builder: Pagelayer – Drag and Drop website builder <= 1.8.7
  • 修正済みバージョン: Page Builder: Pagelayer – Drag and Drop website builder 1.8.8

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support資料

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!