3月のWordPressプラグイン脆弱性リスト

以下は3月に発見されたWordPressおよびプラグイン関連の脆弱性です。ご利用の有無を各自で確認し、速やかに最新バージョンに更新して被害を防いでください。 WordPressプラグインの脆弱性 今月これまでに、いくつかの新しいWordPressプラグインの脆弱性が発見されています。以下の推奨アクションに従ってプラグインを更新するか、完全にアンインストールしてください。1. Pricing Table by SupsysticPricing Table by Supsystic バージョン1.8.1以前には複数の脆弱性があります。 脆弱性は修正済みです。バージョン1.8.2以上に更新してください。2. Flexible Checkout Fields for WooCommerceFlexible Checkout Fields for WooCommerce バージョン2.3.1以前には„認証不要の設定更新“脆弱性があります。このプラグインは悪意のある攻撃に積極的に悪用され、WooCommerceチェックアウトページに悪意のあるスクリプトが注入されました。 脆弱性は修正済みです。バージョン2.3.2に更新してください。3. Export UsersExport Users バージョン1.4.2以前はCSVインジェクション攻撃に対して脆弱です。 このプラグインはWordPress.orgプラグインレポジトリから削除されました。直ちに削除してください。4. Hero MapsHero Maps バージョン2.2.1以前には、認証不要の反射型クロスサイトスクリプティング（XSS）脆弱性があります。 脆弱性は修正済みです。バージョン2.2.3に更新してください。5. CardGate Payments for WooCommerceCardGate Payments for WooCommerce バージョン3.1.15以前には、不正な支払いハイジャックおよび注文ステータス詐称の脆弱性があります。 脆弱性は修正済みです。バージョン3.1.16に更新してください。6. Async JavaScriptAsync JavaScript バージョン2.19.07.14以前には、認証不要の格納型クロスサイトスクリプティング（XSS）脆弱性があります。 脆弱性は修正済みです。バージョン2.20.03.01に更新してください。7. 10Web Map Builder for Google Maps10Web Map Builder for Google Maps バージョン1.0.63以前には、認証不要の格納型クロスサイトスクリプティング（XSS）脆弱性があります。 脆弱性は修正済みです。バージョン1.0.64に更新してください。8. Modern Events Calendar LiteModernEvents Calendar Lite バージョン5.1.6以前には„格納型クロスサイトスクリプティング（XSS）“脆弱性があります。 脆弱性は修正済みです。バージョン5.1.7に更新してください。9. Appointment Booking CalendarAppointment Booking Calendar バージョン1.3.34以前には„認証済みの格納型クロスサイトスクリプティング（XSS）“脆弱性があります。 脆弱性は修正済みです。バージョン1.3.35に更新してください。10. WPFormsWPForms バージョン1.5.8.2以前には„認証済みのクロスサイトスクリプティング（XSS）“脆弱性があります。 脆弱性は修正済みです。バージョン1.5.9に更新してください。11. WordPress WP-Advanced-SearchWordPress WP-Advanced-Search バージョン3.3.3以前には、認証不要のデータベースアクセスおよびリモートコード実行の脆弱性があります。 脆弱性は修正済みです。バージョン3.3.4に更新してください。12. Registration MagicRegistrationMagic バージョン4.6.0.1以前には複数のセキュリティ脆弱性があります。 脆弱性は修正済みです。バージョン4.6.0.4に更新してください。13. Brizy – Page BuilderBrizy – Page Builder バージョン1.0.113およびそれ以前のバージョンには„認証不要のサイト設定更新“の脆弱性があります。この脆弱性は修正済みです。バージョン1.0.114に更新してください。14. Custom Searchable Data Entry System Custom Searchable Data Entry System 1.7.1およびそれ以前のバージョンには、認証不要のデータ改ざんおよび削除の脆弱性があります。この脆弱性は積極的に悪用されています。セキュリティパッチはまだリリースされておらず、このプラグインを削除する必要があります。 15. WP Security Audit LogWP Security Audit Log バージョン4.0.1およびそれ以前のバージョンには、アクセス制御の破損の脆弱性があります。この脆弱性は修正済みです。バージョン4.0.2に更新してください。16. Popup BuilderPopup Builder 3.63およびそれ以前のバージョンには、認証不要のXSSおよび情報漏洩の脆弱性があります。この脆弱性により、認証不要の攻撃者が何千ものサイトに表示されるポップアップウィンドウに悪意のあるJavaScriptコードを注入し、情報を窃取し、場合によってはターゲットサイトを完全に乗っ取る可能性があります。この脆弱性は修正済みです。バージョン3.64.1に更新してください。17、WordPress File Uploadバージョン4.13.0未満のWordPress File Uploadプラグインには、リモートコード実行の脆弱性があります。速やかにバージョン4.13.0以降に更新してください。18、LearnPressLearnPress バージョン3.2.6.7未満には、権限昇格の脆弱性があります。速やかにバージョン3.2.6.7以降に更新してください。19、Custom Post Type UICustom Post Type UI バージョン1.7.4未満には、クロスサイトリクエストフォージェリ（CSRF）および格納型クロスサイトスクリプティング（XSS）の脆弱性があります。速やかにバージョン1.7.4に更新してください。20、Migrate & Backup WordPress – WPvivid Backup PluginMigrate & Backup WordPress – WPvivid Backup Plugin バージョン0.9.36未満には、認可の欠如によるデータベース漏洩の脆弱性があります。速やかにバージョン0.9.36に更新してください。21、All-in-One WP MigrationAll-in-One WP Migration バージョン7.15未満には、任意のバックアップダウンロードの脆弱性があります。速やかにバージョン7.15以降に更新してください。22、NewsletterNewsletter バージョン6.5.4未満には、CSVインジェクションの脆弱性があります。速やかにバージョン6.5.4以降に更新してください。23、Gutenberg & Elementor Templates Importer For ResponsiveGutenberg & Elementor Templates Importer For Responsive バージョン2.2.6未満には、保護されていないAJAXエンドポイントの脆弱性があります。速やかにバージョン2.2.6以降に更新してください。24、Advanced Ads – Ad Manager & AdSenseAdvanced Ads – Ad Manager & AdSense バージョン1.17.4未満には、„認証済みの反射型クロスサイトスクリプティング“の脆弱性があります。速やかにバージョン1.17.4以降に更新してください。25、Cookiebotバージョン3.6.1未満のCookiebotには、認証済みの反射型クロスサイトスクリプティングの脆弱性があります。速やかにバージョン3.6.1以降に更新してください。26、Data Tables Generator by SupsysticData Tables Generator by Supsystic バージョン1.9.92未満には、複数の脆弱性があります。速やかにバージョン1.9.92以降に更新してください。27、その他のプラグインBuddypress Component Stats abstract-submission WP e-Commerce Shop Styling web-portal-lite-client post-pdf-export blogtopdf gboutique 上記7つのプラグインにはセキュリティ上の脆弱性が含まれており、WordPressリポジトリから削除されています。直ちに無効化し、削除してください！！

WordPressの脆弱性に遭遇したらどうするか

古いソフトウェアの実行は、WordPressサイトがハッキングされる第一の原因です。更新ルーチンを確立することは、WordPressサイトのセキュリティにとって極めて重要です。少なくとも週に1回はサイトにログインして更新を実行すべきです。自動更新は役立ちます頻繁に変更されないWordPressサイトにとって、自動更新は良い選択肢です。注意を払わないことが、これらのサイトを放置され脆弱な状態にしがちです。推奨されるセキュリティ設定を使用していても、サイトで脆弱なソフトウェアを実行していると、攻撃者がサイトに侵入する可能性があります。WordPressセキュリティについて詳しく知りたい場合は、以下をご覧ください：WordPressセキュリティ特集記事はWP大学より転載