2024年下半期はいくつかのプラグインで、脆弱性が報告されています。2024年10月~2025年3月に発表されたJVNの公開情報に基づいて、WordPressプラグイン脆弱性情報をまとめてお伝えします。
JVNとは?
日本で利用されているソフトウェアの脆弱性について、情報と対策を発信しているポータルサイト「JVN」は、Japan Vulnerability Notesの略称でIPA(独立行政法人情報処理推進機構)とJPCERT コーディネーションセンターが共同運営しています。
JVNの公開情報に基づいて、2024年下半期のWordPressプラグインに絞り込んで紹介します。(2024/10~2025/3 最新順)
Simple Image Sizes
2025/01/28公開
Raheが提供するWordPress用プラグインSimple Image Sizesには、クロスサイトスクリプティングの脆弱性が存在します。
影響を受けるシステム
CVE-2025-24810
- Simple Image Sizes 3.2.3およびそれ以前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
My WP Customize Admin/Frontend
2024/12/13公開
WordPress用プラグインMy WP Customize Admin/Frontendには、クロスサイトスクリプティングの脆弱性が存在します。
影響を受けるシステム
CVE-2024-55864
- My WP Customize Admin/Frontend ver 1.24.1より前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
WP Admin UI Customize
2024/11/26公開
WordPress用プラグインWP Admin UI Customizeには、クロスサイトスクリプティングの脆弱性が存在します。
影響を受けるシステム
CVE-2024-53278
- WP Admin UI Customize ver 1.5.14より前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
VK All in One Expansion Unit
2024/11/13公開
WordPress用プラグインVK All in One Expansion Unitには、クロスサイトスクリプティングの脆弱性が存在します。
影響を受けるシステム
CVE-2024-52268
- VK All in One Expansion Unit 9.100.1.0より前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
WordPressとは何か基本を知る
WordPressは世界中で最も多く利用されている無料CMSです。WordPressとは何か?メリット・デメリット、どんな方に向いているか?など基本について解説しています。
詳しくはWordPressとは?ページへ
-
-
ワードプレス WordPressとは:初心者もブログ・ホームページを無料作成できる
ブログを始めたい時、ホームページやランキングサイトを無料で作りたい時「0円で使えて、お洒落なブログやかっこいいサイト・ホームページが簡単に作れて、機能も追加出来て、検索エンジン上位表示も対応して、自分 ...
続きを見る
まとめ
2024年下半期のWordPressプラグインの脆弱性報告は少なめでしたが、特定のベンダーの製品に脆弱性が集中する傾向が見られました。特に、Schneider ElectricとRockwell Automationの複数の製品において、多数の脆弱性報告が確認できます。
Webアプリケーションの脆弱性としては、WordPressプラグインにおけるクロスサイトスクリプティング(XSS)の脆弱性が依然として多く報告されています。カスタマイズ系やUI系のプラグインで特に目立つ傾向があり、Webサイト運営者にとって継続的な警戒が必要であることが示唆されます。
全体として、この期間は広範な製品分野で多様な脆弱性が報告されており、特定の種類の脆弱性に偏るというよりは、製品ごとの特性に応じた様々なセキュリティ上の課題が存在していると言えるでしょう。日々のセキュリティ情報に注意しながら、確実な運用を心がけましょう。
