2023年上半期 WordPressプラグイン脆弱性まとめ

2023年上半期はいくつかのプラグインで、脆弱性が報告されています。2023年4月～2023年9月に発表されたJVNの公開情報に基づいて、WordPressプラグイン脆弱性情報をまとめてお伝えします。

JVNとは？

日本で利用されているソフトウェアの脆弱性について、情報と対策を発信しているポータルサイト「JVN」は、Japan Vulnerability Notesの略称でIPA（独立行政法人情報処理推進機構）とJPCERT コーディネーションセンターが共同運営しています。

JVNの公開情報に基づいて、2023年上半期のWordPressプラグインに絞り込んで紹介します。（2023/4～2023/9 最新順）

Welcart e-Commerce

2023/09/22公開

WordPress 用プラグイン Welcart e-Commerce には、複数の脆弱性が存在します。

影響を受けるシステム

Welcart e-Commerce 2.7 から 2.8.21 まで

対策

最新情報をもとにアップデートを行いましょう　ベンダ情報

Advanced Custom Fields

2023/08/21公開

WordPress 用プラグイン Advanced Custom Fields には、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

Advanced Custom Fields 6.1.0 から 6.1.7 までのバージョン
Advanced Custom Fields Pro 6.1.0 から 6.1.7 までのバージョン

対策

最新情報をもとにアップデートを行いましょう　ベンダ情報

TS Webfonts for さくらのレンタルサーバ

2023/07/20公開

さくらインターネット株式会社が提供する WordPress 用プラグイン TS Webfonts for さくらのレンタルサーバには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2023-32624
TS Webfonts for さくらのレンタルサーバ 3.1.0 およびそれ以前

CVE-2023-32625
TS Webfonts for さくらのレンタルサーバ 3.1.2 およびそれ以前

対策

最新情報をもとにアップデートを行いましょう　ベンダ情報

Snow Monkey Forms

2023/06/27公開

株式会社モンキーレンチが提供する WordPress 用プラグイン Snow Monkey Forms には、ディレクトリトラバーサルの脆弱性が存在します。

影響を受けるシステム

Snow Monkey Forms v5.1.1 およびそれ以前のバージョン

対策

最新情報をもとにアップデートを行いましょう　ベンダ情報

MW WP Form および Snow Monkey Forms

2023/05/15公開

株式会社モンキーレンチが提供する WordPress 用プラグイン MW WP Form および Snow Monkey Forms には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2023-28408、CVE-2023-28409
MW WP Form v4.4.2 およびそれ以前のバージョン

CVE-2023-28413
Snow Monkey Forms v5.0.6 およびそれ以前のバージョン

対策

最新情報をもとにアップデートを行いましょう　ベンダ情報1、ベンダ情報2

Newsletter

2023/05/09公開

WordPress 用プラグイン Newsletter には、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

Newsletter 7.6.9 より前のバージョン

対策

最新情報をもとにアップデートを行いましょう　ベンダ情報

VK Blocks および VK All in One Expansion Unit

2023/05/09公開

WordPress 用プラグイン VK Blocks および VK All in One Expansion Unit には、複数のクロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

CVE-2023-27923、CVE-2023-27925
VK Blocks 1.53.0.1 およびそれ以前
VK Blocks Pro 1.53.0.1 およびそれ以前

CVE-2023-27926、CVE-2023-28367
VK All in One Expansion Unit 9.88.1.0 およびそれ以前

対策

最新情報をもとにアップデートを行いましょう　ベンダ情報

Appointment and Event Booking Calendar for WordPress

2023/04/24公開

WordPress 用プラグイン Appointment and Event Booking Calendar for WordPress ‐ Amelia には、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

Appointment and Event Booking Calendar for WordPress ‐ Amelia 1.0.76 より前のバージョン

対策

最新情報をもとにアップデートを行いましょう　ベンダ情報

LIQUID SPEECH BALLOON

2023/04/19公開

WordPress 用プラグイン LIQUID SPEECH BALLOON には、クロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

LIQUID SPEECH BALLOON バージョン 1.2 より前

対策

最新情報をもとにアップデートを行いましょう　ベンダ情報

WordPressとは何か基本を知る

WordPressは世界中で最も多く利用されている無料CMSです。WordPressとは何か？メリット・デメリット、どんな方に向いているか？など基本について解説しています。

詳しくはWordPressとは？ページへ

ワードプレス WordPressとは:初心者もブログ・ホームページを無料作成できる

ブログを始めたい時、ホームページやランキングサイトを無料で作りたい時「0円で使えて、お洒落なブログやかっこいいサイト・ホームページが簡単に作れて、機能も追加出来て、検索エンジン上位表示も対応して、自分 ...

続きを見る

まとめ

2023年上半期のWordPressプラグインの脆弱性報告は数も多く、しかもApacheやOpenSSL、EC-CUBEなどWEBサーバー系からエレコム製無線 LAN ルーターやChatworkデスクトップ版アプリなど多岐に渡っていますので、JVNで詳しい情報を確認し、未対応の方は早急にアップデートなどを行ってください。