【2024年11月】WordPress脆弱性情報＆注目ニュース まとめ｜WordPress 6.7「Rollins」リリース！新デフォルトテーマ「Twenty Twenty-Five」導入など

WordPress 6.7「Rollins」リリース！新デフォルトテーマ「Twenty Twenty-Five」導入

WordPress6.7「Rollins（ロリンズ）」が公開されました。

WordPressの各リリースは著名なミュージシャンの名前から取られていますが、今回の「ロリンズ」は伝説的なジャズサックス奏者「ソニー・ロリンズ」から取られたとのことです。

また、新しいデフォルトテーマ「Twenty Twenty-Five」が導入されています。

WordPress6.7の新機能

• ズームアウトモードの導入
  個々のブロックではなく、パターン全体に焦点を当てた編集が可能に。ページ全体の構造を俯瞰しながら効率的にコンテンツを編集できるようになりました。
• メタボックスの改善
  投稿エディター内でメタボックスとコンテンツが共存できるようになり、エディターとフロントエンドのビューで一貫したWYSIWYG体験が実現。
• Block Bindings APIの強化
  ブロックの属性を外部データソースに結びつけるAPIが改善され、カスタムフィールドの値を見出し、段落、ボタン、画像ブロックの属性に結びつけることが可能に。
• データビューの追加
  エディター内でデータの構造を視覚的に確認・編集できるデータビュー機能が追加され、コンテンツの整理と管理が容易に。
• クエリーループブロックの改良
  クエリーループブロックが強化され、デフォルトのテンプレートからクエリを自動的に継承するなど、より柔軟なコンテンツ表示が可能に。
• メディア管理の改善
  HEIC画像のサポートや遅延読み込み画像の自動サイズ調整など、メディア処理が向上し、サイトのパフォーマンスとユーザー体験が改善。
• デザインツールの強化
  新しいデザインツールが追加され、カラーやフォントのセットを作成してデザインの組み合わせを増やすことが可能に。
• UIの改善とその他の編集機能
  ユーザビリティの改善と新しいデザインツールによって、デザインプロセスの効率化が期待されます。

>>WordPress6.7「Rollins」リリース情報はこちら

>>新機能について詳しくはこちら

新しいWordPressデザインシステム Figmaライブラリの発表

AutomatticのJames Koster氏が、WordPressデザインプロセスを効率化するための「WordPress Design System」Figmaライブラリを発表しました。

このライブラリには、ボタンやフォーム、アイコン、メニューなどの幅広いコンポーネントに加え、色やタイポグラフィなどのスタイルトークンが含まれており、一貫性のあるデザインを実現することができます。

全画面エディターやサイトエディターといったUI要素も提供され、デザイン作業を簡素化に繋がりそうです。また、ライブラリはGutenbergやWordPressの主要リリースごとに更新予定で、Figma内で利用可能です。

デザインやワイヤーフレームの作成で、Figmaを使用している方はぜひ活用してみてください。

>>Figma ライブラリについて詳しくはこちら（英語ページ）

2024年11月度のWordPress脆弱性情報

主要なプラグインに関する脆弱性情報

ここからは2024年11月度に発見されたプラグインの脆弱性をご紹介します。

今月は主要なプラグインに関連する脆弱性が77個発見されました。
自社のWordPressで使用している場合は、速やかに修正済みバージョンへのアップデート、アンインストール、代替プラグインへの差し替えなどの対策を行いましょう。

以下のデータはJVN iPediaの脆弱性対策情報データベースを元に、インストール数10,000以上のプラグインの脆弱性についてまとめたものです。
各プラグインの正式な対応方法等については、それぞれの公式ページ等でご確認ください。

• Video Gallery
• 深刻度: 緊急
• 脆弱性: 信頼できないデータのデシリアライゼーション
• CVE: CVE-2024-52430
• インストール数: 10,000+
• 影響を受けるバージョン: video gallery 0.2.1 およびそれ以前

• Advanced Order Export for WooCommerce
• 深刻度: 緊急
• 脆弱性: 信頼できないデータのデシリアライゼーション
• CVE: CVE-2024-10828
• インストール数: 100,000+
• 影響を受けるバージョン: advanced order export for woocommerce 3.5.6 未満

• WooCommerce Upload Files
• 深刻度: 緊急
• 脆弱性: 危険なタイプのファイルの無制限アップロード
• CVE: CVE-2024-10820
• インストール数: 10,000+
• 影響を受けるバージョン: woocommerce upload files 84.4 未満

• ReviewX
• 深刻度: 緊急
• 脆弱性: 認証の欠如
• CVE: CVE-2024-43323
• インストール数: 10,000+
• 影響を受けるバージョン: reviewx 1.6.29 未満

• Yet Another Related Posts Plugin
• 深刻度: 緊急
• 脆弱性: 認証の欠如
• CVE: CVE-2024-43919
• インストール数: 100,000+
• 影響を受けるバージョン: yet another related posts plugin 5.30.10 およびそれ以前

• Fluent Support
• 深刻度: 緊急
• 脆弱性: 認証の欠如
• CVE: CVE-2024-47302
• インストール数: 10,000+
• 影響を受けるバージョン: fluent support 1.8.1 未満

• Templately
• 深刻度: 緊急
• 脆弱性: 認証の欠如
• CVE: CVE-2024-47308
• インストール数: 200,000+
• 影響を受けるバージョン: templately 3.1.3 未満

• Popup Maker
• 深刻度: 緊急
• 脆弱性: 認証の欠如
• CVE: CVE-2024-47358
• インストール数: 700,000+
• 影響を受けるバージョン: popup maker 1.20.0 未満

• Depicter
• 深刻度: 緊急
• 脆弱性: 認証の欠如
• CVE: CVE-2024-47359
• インストール数: 10,000+
• 影響を受けるバージョン: depicter 3.5.0 未満

• MemberPress
• 深刻度: 緊急
• 脆弱性: 認証の欠如
• CVE: CVE-2024-43956
• インストール数: 10,000+
• 影響を受けるバージョン: memberpress 1.11.35 未満

• Popup by Supsystic
• 深刻度: 緊急
• 脆弱性: コードインジェクション
• CVE: CVE-2024-52434
• インストール数: 30,000+
• 影響を受けるバージョン: Popup by Supsystic 1.10.29 およびそれ以前

• Dynamic Widgets
• 深刻度: 高
• 脆弱性: クロスサイトリクエストフォージェリ
• CVE: CVE-2024-51669
• インストール数: 10,000+
• 影響を受けるバージョン: dynamic widgets 1.6.5 未満

• Happy Addons for Elementor
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-48045
• インストール数: 100,000+
• 影響を受けるバージョン: happy addons for elementor 3.12.4 未満

• WPC Frequently Bought Together for WooCommerce
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-43312
• インストール数: 10,000+
• 影響を受けるバージョン: wpc frequently bought together for woocommerce 7.2.0 未満

• HTML5 Video Player
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-43296
• インストール数: 10,000+
• 影響を受けるバージョン: html5 video player 2.5.31 未満

• The Plus Addons for Elementor Page Builder
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-43932
• インストール数: 30,000+
• 影響を受けるバージョン: The Plus Addons for Elementor Page Builder 5.6.3 未満

• Envira Gallery
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-43925
• インストール数: 100,000+
• 影響を受けるバージョン: Envira Gallery 1.8.15 未満

• Recipe Card Blocks for Gutenberg & Elementor
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-43293
• インストール数: 10,000+
• 影響を受けるバージョン: Recipe Card Blocks for Gutenberg & Elementor 3.3.2 未満

• Google Fonts Typography
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-43302
• インストール数: 10,000+
• 影響を受けるバージョン: Google Fonts Typography 3.7.8 未満

• Asset Cleanup
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-43314
• インストール数: 100,000+
• 影響を受けるバージョン: asset cleanup 1.3.9.4 未満

• PWA for WP & AMP
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-47318
• インストール数: 100,000+
• 影響を受けるバージョン: pwa for wp & amp 1.7.73 未満

• Ads by WPQuads
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-47317
• インストール数: 60,000+
• 影響を受けるバージョン: ads 2.0.85 未満

• Elementor Addon Elements
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-47361
• インストール数: 10,000+
• 影響を受けるバージョン: Elementor Addon Elements 1.13.7 未満

• Login as Users
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-43982
• インストール数: 10,000+
• 影響を受けるバージョン: login as users 1.4.4 およびそれ以前

• WooCommerce Multilingual & Multicurrency
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-44006
• インストール数: 100,000+
• 影響を受けるバージョン: woocommerce multilingual & multicurrency 5.3.7 未満

• WP Free SSL
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-44020
• インストール数: 10,000+
• 影響を受けるバージョン: wp free ssl 1.2.6 およびそれ以前

• GeoDirectory
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-43981
• インストール数: 10,000+
• 影響を受けるバージョン: GeoDirectory 2.3.71 未満

• Strong Testimonials
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-47362
• インストール数: 50,000+
• 影響を受けるバージョン: strong testimonials 3.1.17 未満

• ProfileGrid – User Profiles, Groups, and Communities
• 深刻度: 高
• 脆弱性: 認証の欠如
• CVE: CVE-2024-10900
• インストール数: 10,000+
• 影響を受けるバージョン: ProfileGrid 5.9.3.7 未満

• Super Socializer
• 深刻度: 高
• 脆弱性: 不特定
• CVE: CVE-2024-10020
• インストール数: 30,000+
• 影響を受けるバージョン: social login 1.1.36 未満

• Super Socializer
• 深刻度: 高
• 脆弱性: 不特定
• CVE: CVE-2024-9946
• インストール数: 30,000+
• 影響を受けるバージョン: Super Socializer 7.14 未満

• Loginizer
• 深刻度: 高
• 脆弱性: 不特定
• CVE: CVE-2024-10097
• インストール数: 1,000,000+
• 影響を受けるバージョン: Loginizer 1.9.3 未満

• WP Photo Album Plus
• 深刻度: 高
• 脆弱性: コードインジェクション
• CVE: CVE-2024-10958
• インストール数: 10,000+
• 影響を受けるバージョン: wp photo album plus 8.9.01.001 未満

• Post SMTP
• 深刻度: 高
• 脆弱性: SQL インジェクション
• CVE: CVE-2024-52436
• インストール数: 300,000+
• 影響を受けるバージョン: post smtp 2.9.9 およびそれ以前

• Media Library Assistant
• 深刻度: 高
• 脆弱性: OS コマンドインジェクション
• CVE: CVE-2024-51661
• インストール数: 10,000+
• 影響を受けるバージョン: media library assistant 3.20 未満

• Mailchimp Forms by Mailmunch
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-8726
• インストール数: 20,000+
• 影響を受けるバージョン: mailchimp forms 3.2.4 未満

• 404 Solution
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-11277
• インストール数: 10,000+
• 影響を受けるバージョン: 404 solution 2.35.20 未満

• Restaurant Menu – Food Ordering System & Table Reservation
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-9653
• インストール数: 10,000+
• 影響を受けるバージョン: Restaurant Menu – Food Ordering System – Table Reservation 2.4.3 未満

• WooCommerce Products Filter
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-11400
• インストール数: 70,000+
• 影響を受けるバージョン: WooCommerce Products Filter 1.3.6.3 およびそれ以前

• Hide My WP Ghost
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-10825
• インストール数: 100,000+
• 影響を受けるバージョン: hide my wp ghost 5.3.02 未満

• WP Activity Log
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-10793
• インストール数: 100,000+
• 影響を受けるバージョン: wp activity log 5.2.2 未満

• Yotpo: Reviews and Photos
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-9356
• インストール数: 30,000+
• 影響を受けるバージョン: yotpo 1.7.10 未満

• Contact Form 7 Redirect & Thank You Page
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-10685
• インストール数: 10,000+
• 影響を受けるバージョン: contact form 7 redirect & thank you page 1.0.7 未満

• Form Maker
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-10265
• インストール数: 100,000+
• 影響を受けるバージョン: Form Maker 1.15.31 未満

• Seriously Simple Podcasting
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-9667
• インストール数: 20,000+
• 影響を受けるバージョン: Seriously Simple Podcasting 3.6.0 未満

• WS Form
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-10647
• インストール数: 10,000+
• 影響を受けるバージョン: WS Form 1.9.245 未満

• Essential Addons for Elementor
• 深刻度: 中
• 脆弱性: 不特定
• CVE: CVE-2024-8978
• インストール数: 1,000,000+
• 影響を受けるバージョン: Essential Addons for Elementor 6.0.10 未満

• Essential Addons for Elementor
• 深刻度: 中
• 脆弱性: 不特定
• CVE: CVE-2024-8979
• インストール数: 1,000,000+
• 影響を受けるバージョン: Essential Addons for Elementor 6.0.10 未満

• Getwid – Gutenberg Blocks
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-10872
• インストール数: 40,000+
• 影響を受けるバージョン: getwid 2.0.12 およびそれ以前

• Themify Builder
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-52423
• インストール数: 100,000+
• 影響を受けるバージョン: builder 7.6.3 およびそれ以前

• Royal Elementor Addons and Templates
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-9682
• インストール数: 10,000+
• 影響を受けるバージョン: Royal Elementor Addons and Templates 1.7.1002 未満

• Essential Addons for Elementor
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-8961
• インストール数: 1,000,000+
• 影響を受けるバージョン: Essential Addons for Elementor 6.0.8 未満

• Royal Elementor Addons and Templates
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-9059
• インストール数: 10,000+
• 影響を受けるバージョン: Royal Elementor Addons and Templates 1.7.1002 未満

• Royal Elementor Addons and Templates
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-9668
• インストール数: 10,000+
• 影響を受けるバージョン: Royal Elementor Addons and Templates 1.7.1002 未満

• OSM – OpenStreetMap
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-52355
• インストール数: 10,000+
• 影響を受けるバージョン: OSM – OpenStreetMap 6.1.3 未満

• Happy Addons for Elementor
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-10538
• インストール数: 100,000+
• 影響を受けるバージョン: happy addons for elementor 3.12.6 未満

• Easy SVG Support
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-10269
• インストール数: 10,000+
• 影響を受けるバージョン: easy svg support 3.8 未満

• myCred
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-10187
• インストール数: 10,000+
• 影響を受けるバージョン: myCred 2.7.5 未満

• Elementor Header & Footer Builder
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-10325
• インストール数: 100,000+
• 影響を受けるバージョン: Elementor Header & Footer Builder 1.6.46 未満

• MapPress Maps for WordPress
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-10715
• インストール数: 100,000+
• 影響を受けるバージョン: MapPress Maps for WordPress 2.94.2 未満

• Easy Pricing Tables
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-8323
• インストール数: 30,000+
• 影響を受けるバージョン: Easy Pricing Tables 3.2.7 未満

• WooCommerce Products Table (WOOT)
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-10168
• インストール数: 10,000+
• 影響を受けるバージョン: woot 1.0.6.5 未満

• XT Floating Cart for WooCommerce
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-9178
• インストール数: 10,000+
• 影響を受けるバージョン: xt floating cart for woocommerce 2.8.3 未満

• Element Pack
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-9657
• インストール数: 100,000+
• 影響を受けるバージョン: element pack 5.10.3 未満

• Element Pack
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-9867
• インストール数: 100,000+
• 影響を受けるバージョン: element pack 5.10.3 未満

• Element Pack
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-10310
• インストール数: 100,000+
• 影響を受けるバージョン: element pack 5.10.2 未満

• Element Pack
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-9868
• インストール数: 100,000+
• 影響を受けるバージョン: element pack 5.10.2 未満

• Formidable Forms – Contact Form, Survey & Quiz Plugin
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-9768
• インストール数: 300,000+
• 影響を受けるバージョン: formidable forms 6.14.1 未満

• Photo Gallery
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-9878
• インストール数: 300,000+
• 影響を受けるバージョン: Photo Gallery 1.8.31 未満

• Pods
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-9883
• インストール数: 100,000+
• 影響を受けるバージョン: pods 3.2.7.1 未満

• Simply Schedule Appointments
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-7877
• インストール数: 40,000+
• 影響を受けるバージョン: simply schedule appointments 1.6.7.55 未満

• Simply Schedule Appointments
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-7876
• インストール数: 40,000+
• 影響を受けるバージョン: simply schedule appointments 1.6.7.55 未満

• Table of Contents Plus
• 深刻度: 中
• 脆弱性: クロスサイトスクリプティング
• CVE: CVE-2024-5578
• インストール数: 300,000+
• 影響を受けるバージョン: table of contents plus 2408 およびそれ以前

• The Plus Addons for Elementor Page Builder
• 深刻度: 中
• 脆弱性: 不特定
• CVE: CVE-2024-10365
• インストール数: 30,000+
• 影響を受けるバージョン: The Plus Addons for Elementor Page Builder 6.0.4 未満

• Tutor LMS Elementor Addons
• 深刻度: 中
• 脆弱性: 認証の欠如
• CVE: CVE-2024-10897
• インストール数: 10,000+
• 影響を受けるバージョン: tutor lms elementor addons 2.1.6 未満

• Futurio Extra
• 深刻度: 中
• 脆弱性: ユーザ制御の鍵による認証回避
• CVE: CVE-2024-10695
• インストール数: 10,000+
• 影響を受けるバージョン: Futurio Extra 2.0.14 未満

• Zotpress
• 深刻度: 中
• 脆弱性: 認証の欠如
• CVE: CVE-2024-7429
• インストール数: 10,000+
• 影響を受けるバージョン: zotpress 7.3.13 未満

WordPress保守・運用のパートナーなら「wp.support」にお任せ！

WordPressサイトを運用していて、以下のようなお悩みはありませんか？

• 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
• サイトのUI/UXを改善したいけれど、自社内では難しい…
• WordPressサイトを高速化したいけれど、ノウハウがない…
• セキュリティ対策をしたいけれど、知識のある人材がいない…
• 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
• ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する