Sucuriは6月28日(米国時間)、「WordPress Vulnerability & Patch Roundup June 2024」において、2024年6月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう1か月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。
WordPress Vulnerability & Patch Roundup June 2024
今月は40件の脆弱性とその緩和策が紹介されている。セキュリティリスクが「緊急(Critical)」と評価されているソフトウェアは2件、「重要(High)」は3件、「警告(Medium)」は24件、「低(Low)」は11件となっている。
○6月WordPressプラグインの主な脆弱性
今月の主な脆弱性は次のとおり。
[緊急(Critical)] CVE-2024-37252 Email Subscribers by Icegram Express - SQLインジェクションの脆弱性
[緊急(Critical)] WooCommerce - クロスサイトスクリプティングの脆弱性 (XSS)
[重要(High)] CVE-2024-3105 Woody code snippets - リモートコード実行(RCE: Remote Code Execution)の脆弱性
[重要(High)] CVE-2024-3549 Blog2Social: Social Media Auto Post - SQLインジェクションの脆弱性
[重要(High)] CVE-2023-6696、CVE-2024-2544 Popup Builder - ブラインドサーバーサイドリクエストフォージェリー(SSRF: Server-Side Request Forgery)のセキュリティ脆弱性および不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2022-44581 Defender Security - 不適切な認証の脆弱性
[警告(Medium)] CVE-2023-3352 Smush Image Optimization - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2023-6692 Ultimate Blocks - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-1168 SEOPress - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-1766 Download Manager - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-2473 WPS Hide Login - 秘匿されたログインページ開示の脆弱性
[警告(Medium)] CVE-2024-2484 Orbit Fox by ThemeIsle - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-37252 Email Subscribers by Icegram Express - SQLインジェクションの脆弱性
[警告(Medium)] CVE-2024-4390 Slider & Popup Builder by Depicter - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2024-4479 Jeg Elementor Kit - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4632 WooCommerce Checkout & Funnel Builder by CartFlows - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4863 Gutenberg Blocks with AI by Kadence WP - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5036 Sina Extension for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5090 SiteOrigin Widgets Bundle - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5189 Essential Addons for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5530 ShopLentor - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5531 Ocean Extra - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5553 Premium Addons for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5584 WordPress Online Booking and Scheduling Plugin - Bookly - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5605 Media Library Assistant - SQLインジェクションの脆弱性
[警告(Medium)] CVE-2024-5757 Elementor Header & Footer Builder - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5787 PowerPack Addons for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5994 WP Go Maps - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2022-44593 Solid Security - 信頼性の低いソース使用の脆弱性
[注意(Low)] CVE-2022-44587 WP 2FA - 機密情報漏えいの脆弱性
[注意(Low)] CVE-2024-0789 WP Maintenance - メンテナンスモードバイパスの脆弱性
[注意(Low)] CVE-2024-2122 FooGallery - クロスサイトスクリプティングの脆弱性 (XSS)
[注意(Low)] CVE-2024-3492 Events Manager - Calendar, Bookings, Tickets, and more! - クロスサイトスクリプティングの脆弱性 (XSS)
[注意(Low)] CVE-2024-37881 SiteGuard WP Plugin - 秘匿されたログインページ開示の脆弱性
[注意(Low)] CVE-2024-3961 ConvertKit - 不適切なアクセス制御による脆弱性
[注意(Low)] CVE-2024-4145 Search & Replace - SQLインジェクションの脆弱性
[注意(Low)] CVE-2024-4149 Floating Chat Widget - Chaty - クロスサイトスクリプティングの脆弱性 (XSS)
[注意(Low)] CVE-2024-4266 MetForm - 機密情報漏えいの脆弱性
[注意(Low)] CVE-2024-4924 Sassy Social Share - クロスサイトスクリプティングの脆弱性 (XSS)
[注意(Low)] CVE-2024-5639 User Profile Picture - 不適切なアクセス制御による脆弱性
WordPressの脆弱性はサイバーセキュリティ犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。
ハピタス
ITトピックス
ITランキング
- 1
iPhoneとAndroidユーザー狙う豚の屠殺詐欺、日本も標的画像あり
- 2
セブン-イレブンの担当者が語る!「秋の味覚祭」のスイーツ開発秘話画像あり
- 3
キャラクターデザインの開発秘話も飛び出した!『Marvel Rivals』日本メディア先行体験会画像あり
- 4
データ保護委員会、Metaに9,100万ユーロの制裁金画像あり
- 5
石原さとみさんにインタビュー、ハミングフレア / セブン-イレブン「秋の味覚祭」がスタート【まとめ記事】画像あり
- 6
井桁弘恵さんが案内する、未来のものづくり / 大容量の折り畳みコンテナ【まとめ記事】画像あり
- 7
世界最小のルービックキューブがギネス世界記録 / コネクタ一体型モバイルバッテリー【まとめ記事】画像あり
- 8
「しずおか元気旅」を満喫!JR東海「静岡デスティネーションキャンペーン」ツアーを一足先に体験画像あり
- 9
ランディングページ×動画を徹底研究!(後編)――LP内の動画の効果を高めるための5つのヒント画像あり
- 10
大和証券、NECらとAIオペレーターによる問い合わせサービス提供画像あり