2022年下半期 WordPressプラグイン脆弱性まとめ

2022年下半期はいくつかのプラグインで、脆弱性が報告されています。2022年10月～2023年3月に発表されたJVNの公開情報に基づいて、WordPressプラグイン脆弱性情報をまとめてお伝えします。

JVNとは？

日本で利用されているソフトウェアの脆弱性について、情報と対策を発信しているポータルサイト「JVN」は、Japan Vulnerability Notesの略称でIPA（独立行政法人情報処理推進機構）とJPCERT コーディネーションセンターが共同運営しています。

JVNの公開情報に基づいて、2022年下半期のWordPressプラグインに絞り込んで紹介します。（2022/10～2023/3 最新順）

Welcart e-Commerce

2023/01/17公開

WordPress 用プラグイン Welcart e-Commerce には、ディレクトリトラバーサルの脆弱性が存在します。

影響を受けるシステム

Welcart e-Commerce 2.6.0 から 2.8.5 まで

対策

最新情報をもとにアップデートを行いましょう　ベンダ情報

WordPress Popular Posts

2022/11/18公開

WordPress 用プラグイン WordPress Popular Posts は、信頼できない外部入力を使って内部の特定の変数を更新しています。

影響を受けるシステム

WordPress Popular Posts 6.0.5 およびそれ以前

対策

最新情報をもとにアップデートを行いましょう　ベンダ情報

Salon booking system

2022/11/08公開

WordPress 用プラグイン Salon booking system には、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

Salon booking system 7.9 より前のバージョン

対策

最新情報をもとにアップデートを行いましょう　ベンダ情報

WordPress

2022/11/08公開

WordPress には、複数の脆弱性が存在します。

影響を受けるシステム

WordPress 6.0.3 より前のバージョン

対策

最新情報をもとにアップデートを行いましょう　JVN情報

あわせて読みたい

セキュリティ対応が自社では難しい、時間や人員が割けない場合、外部サービスを利用するのも一つの方法です。

Webセキュリティサービス【SiteLock（サイトロック）】

マルウェアの感染や不正改竄など、サイトの脆弱性に対する攻撃が後を絶たず、自社のブランドを毀損する以上に、ユーザーに被害をもたらす可能性もあります。

「SiteLock」は、年額8,800円（月当たり733円）という低価格で、100ページまでのWordPressで構築したサイトなどのセキュリティ対策を行えるサービスです。
Webサイトおよびアプリケーションの定期的な「脆弱性診断」 や、マルウェアや不正コンテンツを検知する「マルウェア診断」 、そしてサイトの不正な改ざんを定期診断・駆除する「SMART診断」 が行えるほか、Webサイトの信頼性を可視化する安全シールも利用できます。

信用を守るため、ユーザーを守るためにもセキュリティ対策は今や必須です。

SiteLock公式サイトへ

まとめ

2022年下半期のWordPressプラグインの脆弱性報告は4件と数は少ないのですが、Welcart e-CommerceやWordPress Popular Postsと利用頻度の高いプラグインが含まれていること、そしてWordPress本体に複数の脆弱性が指摘されていることもあり、早急な対応が必要です。2023年3月30日には、WordPressのメジャーアップデート版6.2もリリースされましたので、合わせて作業を実施することが望ましいでしょう。

JVNで詳しい情報を確認し、未対応の方は早急にアップデートなどを行ってください。