2023年上半期はいくつかのプラグインで、脆弱性が報告されています。2023年4月~2023年9月に発表されたJVNの公開情報に基づいて、WordPressプラグイン脆弱性情報をまとめてお伝えします。
JVNとは?
日本で利用されているソフトウェアの脆弱性について、情報と対策を発信しているポータルサイト「JVN」は、Japan Vulnerability Notesの略称でIPA(独立行政法人情報処理推進機構)とJPCERT コーディネーションセンターが共同運営しています。
JVNの公開情報に基づいて、2023年上半期のWordPressプラグインに絞り込んで紹介します。(2023/4~2023/9 最新順)
Welcart e-Commerce
2023/09/22公開
WordPress 用プラグイン Welcart e-Commerce には、複数の脆弱性が存在します。
影響を受けるシステム
Welcart e-Commerce 2.7 から 2.8.21 まで
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
Advanced Custom Fields
2023/08/21公開
WordPress 用プラグイン Advanced Custom Fields には、クロスサイトスクリプティングの脆弱性が存在します。
影響を受けるシステム
Advanced Custom Fields 6.1.0 から 6.1.7 までのバージョン
Advanced Custom Fields Pro 6.1.0 から 6.1.7 までのバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
TS Webfonts for さくらのレンタルサーバ
2023/07/20公開
さくらインターネット株式会社が提供する WordPress 用プラグイン TS Webfonts for さくらのレンタルサーバには、複数の脆弱性が存在します。
影響を受けるシステム
CVE-2023-32624
TS Webfonts for さくらのレンタルサーバ 3.1.0 およびそれ以前
CVE-2023-32625
TS Webfonts for さくらのレンタルサーバ 3.1.2 およびそれ以前
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
Snow Monkey Forms
2023/06/27公開
株式会社モンキーレンチが提供する WordPress 用プラグイン Snow Monkey Forms には、ディレクトリトラバーサルの脆弱性が存在します。
影響を受けるシステム
Snow Monkey Forms v5.1.1 およびそれ以前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
MW WP Form および Snow Monkey Forms
2023/05/15公開
株式会社モンキーレンチが提供する WordPress 用プラグイン MW WP Form および Snow Monkey Forms には、複数の脆弱性が存在します。
影響を受けるシステム
CVE-2023-28408、CVE-2023-28409
MW WP Form v4.4.2 およびそれ以前のバージョン
CVE-2023-28413
Snow Monkey Forms v5.0.6 およびそれ以前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報1、ベンダ情報2
Newsletter
2023/05/09公開
WordPress 用プラグイン Newsletter には、クロスサイトスクリプティングの脆弱性が存在します。
影響を受けるシステム
Newsletter 7.6.9 より前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
VK Blocks および VK All in One Expansion Unit
2023/05/09公開
WordPress 用プラグイン VK Blocks および VK All in One Expansion Unit には、複数のクロスサイトスクリプティングの脆弱性が存在します。
影響を受けるシステム
CVE-2023-27923、CVE-2023-27925
VK Blocks 1.53.0.1 およびそれ以前
VK Blocks Pro 1.53.0.1 およびそれ以前
CVE-2023-27926、CVE-2023-28367
VK All in One Expansion Unit 9.88.1.0 およびそれ以前
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
Appointment and Event Booking Calendar for WordPress
2023/04/24公開
WordPress 用プラグイン Appointment and Event Booking Calendar for WordPress ‐ Amelia には、クロスサイトスクリプティングの脆弱性が存在します。
影響を受けるシステム
Appointment and Event Booking Calendar for WordPress ‐ Amelia 1.0.76 より前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
LIQUID SPEECH BALLOON
2023/04/19公開
WordPress 用プラグイン LIQUID SPEECH BALLOON には、クロスサイトリクエストフォージェリの脆弱性が存在します。
影響を受けるシステム
LIQUID SPEECH BALLOON バージョン 1.2 より前
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
WordPressとは何か基本を知る
WordPressは世界中で最も多く利用されている無料CMSです。WordPressとは何か?メリット・デメリット、どんな方に向いているか?など基本について解説しています。
詳しくはWordPressとは?ページへ
-
ワードプレス WordPressとは:初心者もブログ・ホームページを無料作成できる
ブログを始めたい時、ホームページやランキングサイトを無料で作りたい時「0円で使えて、お洒落なブログやかっこいいサイト・ホームページが簡単に作れて、機能も追加出来て、検索エンジン上位表示も対応して、自分 ...
続きを見る
まとめ
2023年上半期のWordPressプラグインの脆弱性報告は数も多く、しかもApacheやOpenSSL、EC-CUBEなどWEBサーバー系からエレコム製無線 LAN ルーターやChatworkデスクトップ版アプリなど多岐に渡っていますので、JVNで詳しい情報を確認し、未対応の方は早急にアップデートなどを行ってください。
記事作成者プロフィール
-
株式会社ストレン 代表取締役社長
情報セキュリティマネジメント
2級知的財産管理技能士
ネットショップ実務士レベル2
おすすめ情報サイト「マイベスト」レンタルサーバー・ドメイン監修
当サイトはホスティング業経験から、レンタルサーバー・ドメイン・ワードプレステーマ/テンプレートを中立の視点から比較評価し、始める・切り替える方の立場に立った情報をお届けします。
【仕事略歴】早稲田大商卒。東証一部精密機器メーカー、レコード会社を経て2000年 動画配信レンタルサービス「ストレン」起業、マイクロソフト認定パートナーとしてサーバー構築・運用・PR等に携わる。2015年、東証グロース上場企業・お客様と合意の上、上場企業へユーザー移行後に同ビジネス終了、以降はITコンサルティングとして支援に。
【趣味】プロ野球/MLBなどスポーツ、映画・音楽好き(主に洋楽)
最新の投稿記事
- ワードプレステンプレート2024年11月3日SWELL(スウェル)とは:簡単ブログ設定/ブロック機能が評判のWordPressテーマ
- お役立ち情報 WordPressテーマ サービス別2024年10月30日TCDワードプレス無料テーマ「GLUE」とは?個人ブログからサービスサイトまで利用できる!!
- お役立ち情報 レンタルサーバー・ドメインサービス別2024年10月28日ロリポップ!ネットde診断:ドメインごとにサイトセキュリティを簡単チェック!!
- お役立ち情報 レンタルサーバー・ドメインサービス別2024年10月25日ロリポップ!特典-GMO順位チェッカー:ずっと無料で検索エンジン対策ができる(一部機能)