
以下は3月に発見されたWordPressおよびプラグイン関連の脆弱性です。各自ご利用の有無をご確認いただき、速やかに最新バージョンに更新して損失を回避してください。
WordPressプラグインの脆弱性
今月これまでに、いくつかの新しいWordPressプラグインの脆弱性が発見されています。以下の推奨アクションに従って、プラグインを更新するか、完全にアンインストールしてください。
1. Pricing Table by Supsystic
Pricing Table by Supsystic バージョン1.8.1以前には複数の脆弱性があります。 脆弱性は修正済みです。バージョン1.8.2以上に更新してください。
2. Flexible Checkout Fields for WooCommerce
Flexible Checkout Fields for WooCommerce バージョン2.3.1以前には„認証不要の設定更新“脆弱性があります。このプラグインは悪意のある攻撃に積極的に悪用され、WooCommerceチェックアウトページに悪意のあるスクリプトが注入されました。 脆弱性は修正済みです。バージョン2.3.2に更新してください。
3. Export Users
Export Users バージョン1.4.2以前はCSVインジェクション攻撃に対して脆弱です。 このプラグインはWordPress.orgプラグインレポジトリから削除されました。直ちに削除してください。
4. Hero Maps
Hero Maps バージョン2.2.1以前には、認証不要の反射型クロスサイトスクリプティング(XSS)脆弱性があります。 脆弱性は修正済みです。バージョン2.2.3に更新してください。
5. CardGate Payments for WooCommerce
CardGate Payments for WooCommerce バージョン3.1.15以前には、不正な支払いハイジャックおよび注文ステータス詐称の脆弱性があります。 脆弱性は修正済みです。バージョン3.1.16に更新してください。
6. Async JavaScript
Async JavaScript バージョン2.19.07.14以前には、認証不要の格納型クロスサイトスクリプティング(XSS)脆弱性があります。 脆弱性は修正済みです。バージョン2.20.03.01に更新してください。
7. 10Web Map Builder for Google Maps
10Web Map Builder for Google Maps バージョン1.0.63以前には、認証不要の格納型クロスサイトスクリプティング(XSS)脆弱性があります。 脆弱性は修正済みです。バージョン1.0.64に更新してください。
8. Modern Events Calendar LiteModern
Events Calendar Lite バージョン5.1.6以前には„格納型クロスサイトスクリプティング(XSS)“脆弱性があります。 脆弱性は修正済みです。バージョン5.1.7に更新してください。
9. Appointment Booking Calendar
Appointment Booking Calendar バージョン1.3.34以前には„認証済みの格納型クロスサイトスクリプティング(XSS)“脆弱性があります。 脆弱性は修正済みです。バージョン1.3.35に更新してください。
10. WPForms
WPForms バージョン1.5.8.2以前には„認証済みのクロスサイトスクリプティング(XSS)“脆弱性があります。 脆弱性は修正済みです。バージョン1.5.9に更新してください。
11. WordPress WP-Advanced-Search
WordPress WP-Advanced-Search バージョン3.3.3以前には、認証不要のデータベースアクセスおよびリモートコード実行の脆弱性があります。 脆弱性は修正済みです。バージョン3.3.4に更新してください。
12. Registration Magic
RegistrationMagic バージョン4.6.0.1以前には複数のセキュリティ脆弱性があります。 脆弱性は修正済みです。バージョン4.6.0.4に更新してください。
13. Brizy – Page Builder
Brizy – Page Builder バージョン1.0.113およびそれ以前のバージョンには„認証不要のサイト設定更新“の脆弱性があります。この脆弱性は修正済みです。バージョン1.0.114に更新してください。
14. Custom Searchable Data Entry System
Custom Searchable Data Entry System 1.7.1およびそれ以前のバージョンには、認証不要のデータ改ざんおよび削除の脆弱性があります。この脆弱性は積極的に悪用されています。セキュリティパッチはまだリリースされておらず、このプラグインを削除する必要があります。
15. WP Security Audit Log
WP Security Audit Log バージョン4.0.1およびそれ以前のバージョンには、アクセス制御の破損の脆弱性があります。この脆弱性は修正済みです。バージョン4.0.2に更新してください。
16. Popup Builder
Popup Builder 3.63およびそれ以前のバージョンには、認証不要のXSSおよび情報漏洩の脆弱性があります。この脆弱性により、認証不要の攻撃者が何千ものサイトに表示されるポップアップウィンドウに悪意のあるJavaScriptコードを注入し、情報を窃取し、場合によってはターゲットサイトを完全に乗っ取る可能性があります。この脆弱性は修正済みです。バージョン3.64.1に更新してください。
17、WordPress File Upload
バージョン4.13.0未満のWordPress File Uploadプラグインには、リモートコード実行の脆弱性があります。速やかにバージョン4.13.0以降に更新してください。
18、LearnPress
LearnPress バージョン3.2.6.7未満には、権限昇格の脆弱性があります。速やかにバージョン3.2.6.7以降に更新してください。
19、Custom Post Type UI
Custom Post Type UI バージョン1.7.4未満には、クロスサイトリクエストフォージェリ(CSRF)および格納型クロスサイトスクリプティング(XSS)の脆弱性があります。速やかにバージョン1.7.4に更新してください。
20、Migrate & Backup WordPress – WPvivid Backup Plugin
Migrate & Backup WordPress – WPvivid Backup Plugin バージョン0.9.36未満には、認可の欠如によるデータベース漏洩の脆弱性があります。速やかにバージョン0.9.36に更新してください。
21、All-in-One WP Migration
All-in-One WP Migration バージョン7.15未満には、任意のバックアップダウンロードの脆弱性があります。速やかにバージョン7.15以降に更新してください。
22、Newsletter
Newsletter バージョン6.5.4未満には、CSVインジェクションの脆弱性があります。速やかにバージョン6.5.4以降に更新してください。
23、Gutenberg & Elementor Templates Importer For Responsive
Gutenberg & Elementor Templates Importer For Responsive バージョン2.2.6未満には、保護されていないAJAXエンドポイントの脆弱性があります。速やかにバージョン2.2.6以降に更新してください。
24、Advanced Ads – Ad Manager & AdSense
Advanced Ads – Ad Manager & AdSense バージョン1.17.4未満には、„認証済みの反射型クロスサイトスクリプティング“の脆弱性があります。速やかにバージョン1.17.4以降に更新してください。
25、Cookiebot
バージョン3.6.1未満のCookiebotには、認証済みの反射型クロスサイトスクリプティングの脆弱性があります。速やかにバージョン3.6.1以降に更新してください。
26、Data Tables Generator by Supsystic
Data Tables Generator by Supsystic バージョン1.9.92未満には、複数の脆弱性があります。速やかにバージョン1.9.92以降に更新してください。
27、その他のプラグイン
Buddypress Component Stats
abstract-submission
WP e-Commerce Shop Styling
web-portal-lite-client
post-pdf-export
blogtopdf
gboutique
上記7つのプラグインにはセキュリティ脆弱性が含まれており、WordPressリポジトリから削除されました。速やかに無効化して削除してください!!
WordPressの脆弱性に遭遇したらどうするか
古いソフトウェアの実行は、WordPressサイトがハッキングされる第一の原因です。更新ルーチンを確立することは、WordPressサイトのセキュリティにとって極めて重要です。少なくとも週に1回はサイトにログインして更新を実行すべきです。
自動更新は役立ちます
頻繁に変更されないWordPressサイトの場合、自動更新は良い選択肢です。注意を払わないと、これらのサイトは見過ごされ、攻撃に対して脆弱になることがよくあります。推奨されるセキュリティ設定を使用していても、サイト上で脆弱なソフトウェアを実行していると、攻撃者がサイトに侵入する可能性があります。
WordPressのセキュリティについて詳しくはこちらをご覧ください:WordPressセキュリティ特集
記事はWP大学より転載