WordPressの脆弱性とセキュリティパッチ: 2023年6月まとめ
Sucuriは2023年6月27日(米国時間)、「WordPress Vulnerability & Patch Roundup June 2023」において、2023年6月に公開された、オープンソースのCMS「WordPress」の脆弱性およびセキュリティパッチについて伝えた。SucuriはWebサイト所有者に対し、新たな脅威を把握して対処してもらえるよう、1カ月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。
今月は23個の脆弱性とその緩和策が紹介されている。各脆弱性のセキュリティリスクは「緊急(Critical)」が1、「重要(High)」が9、「警告(Medium)」が13となっている。
今月の主な脆弱性は次のとおり。
[緊急(Critical)] CVE-2023-34007 Download Monitor - 任意ファイルアップデートの脆弱性
[重要(High)] CVE-2023-25700 Tutor LMS - インジェクションの脆弱性
[重要(High)] CVE-2023-2654 Conditional Menus - クロスサイトスクリプティングの脆弱性 (XSS)
[重要(High)] CVE-2023-2986 Abandoned Cart Lite for WooCommerce - 認証機能不全の脆弱性
[重要(High)] CVE-2023-3081 WP Mail Logging - クロスサイトスクリプティングの脆弱性 (XSS)
[重要(High)] CVE-2023-31219 Download Monitor - インジェクションの脆弱性
[重要(High)] CVE-2023-31231 Unlimited Elements For Elementor - 誤ったセキュリティ設定の脆弱性
[重要(High)] CVE-2023-35049 WooCommerce Stripe Payment Gateway - 不適切なアクセス制御による脆弱性
[重要(High)] CVE-2023-35876 WooCommerce Square - インセキュア・ダイレクト・オブジェクト参照(IDOR)の脆弱性
[重要(High)] Jetpack - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2020-36722 Visual Composer - Multiple クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2023-0583 VK Blocks - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2023-0708 Metform Elementor Contact Form Builder - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2023-1166 Social Media Share Buttons - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2023-1524 Download Manager - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2023-2450 FiboSearch - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2023-32580 Password Protected - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2023-33995 Photo Gallery by 10Web - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2023-34382 Dokan - PHP Object インジェクションの脆弱性
[警告(Medium)] CVE-2023-35046 Dynamic Visibility for Elementor - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2023-35875 Gutenverse - Gutenberg Blocks - Page Builder for Site Editor - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2023-35882 Super Socializer - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] PowerPress Podcasting - クロスサイトスクリプティングの脆弱性 (XSS)
WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。
今月は23個の脆弱性とその緩和策が紹介されている。各脆弱性のセキュリティリスクは「緊急(Critical)」が1、「重要(High)」が9、「警告(Medium)」が13となっている。
今月の主な脆弱性は次のとおり。
[緊急(Critical)] CVE-2023-34007 Download Monitor - 任意ファイルアップデートの脆弱性
[重要(High)] CVE-2023-25700 Tutor LMS - インジェクションの脆弱性
[重要(High)] CVE-2023-2654 Conditional Menus - クロスサイトスクリプティングの脆弱性 (XSS)
[重要(High)] CVE-2023-2986 Abandoned Cart Lite for WooCommerce - 認証機能不全の脆弱性
[重要(High)] CVE-2023-3081 WP Mail Logging - クロスサイトスクリプティングの脆弱性 (XSS)
[重要(High)] CVE-2023-31219 Download Monitor - インジェクションの脆弱性
[重要(High)] CVE-2023-31231 Unlimited Elements For Elementor - 誤ったセキュリティ設定の脆弱性
[重要(High)] CVE-2023-35049 WooCommerce Stripe Payment Gateway - 不適切なアクセス制御による脆弱性
[重要(High)] CVE-2023-35876 WooCommerce Square - インセキュア・ダイレクト・オブジェクト参照(IDOR)の脆弱性
[重要(High)] Jetpack - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2020-36722 Visual Composer - Multiple クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2023-0583 VK Blocks - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2023-0708 Metform Elementor Contact Form Builder - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2023-1166 Social Media Share Buttons - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2023-1524 Download Manager - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2023-2450 FiboSearch - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2023-32580 Password Protected - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2023-33995 Photo Gallery by 10Web - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2023-34382 Dokan - PHP Object インジェクションの脆弱性
[警告(Medium)] CVE-2023-35046 Dynamic Visibility for Elementor - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2023-35875 Gutenverse - Gutenberg Blocks - Page Builder for Site Editor - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2023-35882 Super Socializer - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] PowerPress Podcasting - クロスサイトスクリプティングの脆弱性 (XSS)
WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。
