2024年上半期 WordPressプラグイン脆弱性まとめ

2024年上半期はいくつかのプラグインで、脆弱性が報告されています。2024年4月~2024年9月に発表されたJVNの公開情報に基づいて、WordPressプラグイン脆弱性情報をまとめてお伝えします。

2024年上半期 WordPressプラグイン脆弱性まとめ

JVNとは?

日本で利用されているソフトウェアの脆弱性について、情報と対策を発信しているポータルサイト「JVN」は、Japan Vulnerability Notesの略称でIPA(独立行政法人情報処理推進機構)とJPCERT コーディネーションセンターが共同運営しています。

JVNの公開情報に基づいて、2024年上半期のWordPressプラグインに絞り込んで紹介します。(2024/4~2024/9 最新順)

Welcart e-Commerce

2024/09/18公開

株式会社Welcartが提供するWordPress用プラグインWelcart e-Commerceには、複数の脆弱性が存在します。

影響を受けるシステム

  • SQLインジェクション(CWE-89
    • CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8
    • CVE-2024-42404
  • クロスサイトスクリプティング(CWE-79
    • CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1
    • CVE-2024-45366

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

Forminator

2024/09/09公開

WPMU DEVが提供するWordPress用プラグインForminatorには、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

Forminator 1.34.1より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

Advanced Custom Fields

2024/09/04公開

WordPress用プラグインAdvanced Custom Fieldsには、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

Advanced Custom Fields 6.3.5およびそれ以前のバージョン
Advanced Custom Fields Pro 6.3.5およびそれ以前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

Carousel Slider

2024/08/30公開

Sayful Islamが提供するWordPress用プラグインCarousel Sliderには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2024-45269

  • Carousel Slider 2.0より前のバージョン

CVE-2024-45270

  • Carousel Slider 2.2.4より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

WP Tweet WallsおよびSola Testimonials

2024/06/26公開

Sola Pluginsが提供するWordPress用プラグインWP Tweet WallsおよびSola Testimonialsには、クロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

CVE-2024-38344

  • WP Tweet Walls 1.0.4より前のバージョン

CVE-2024-38345

  • Sola Testimonials/Super Testimonials 3.0.0より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報 ベンダ情報

SiteGuard WP Plugin

2024/06/19公開

EGセキュアソリューションズが提供するWordPress用プラグインSiteGuard WP Pluginには、変更したログインパスへのアクセスが、​他のページからのリダイレクトにより可能になる脆弱性が存在します。

影響を受けるシステム

SiteGuard WP Plugin 1.7.7より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

Music Store - WordPress eCommerce

2024/06/07公開

CodePeopleが提供するWordPress用プラグインMusic Store - WordPress eCommerceには、SQLインジェクションの脆弱性が存在します。

影響を受けるシステム

Music Store - WordPress eCommerce 1.1.14より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

WP Booking

2024/05/24公開

aviplugins.comが提供するWordPress用プラグインWP Bookingには、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

WP Booking 2.4.5より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

Download Plugins and Themes from Dashboard

2024/05/17公開

WPFactory LLCが提供するWordPress用プラグインDownload Plugins and Themes from Dashboardには、パストラバーサルの脆弱性が存在します。

影響を受けるシステム

Download Plugins and Themes from Dashboard 1.8.6より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

Heateor Social Login WordPress

2024/05/08公開

Heateorが提供するWordPress用プラグインHeateor Social Login WordPressには、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

Heateor Social Login WordPress 1.1.32より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

Forminator

2024/04/18公開

WPMU DEVが提供するWordPress用プラグインForminatorには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2024-28890

  • Forminator 1.29.0より前のバージョン

CVE-2024-31077

  • Forminator 1.29.3より前のバージョン

CVE-2024-31857

  • Forminator 1.15.4より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

Ninja Forms

2024/04/08公開

Saturday Driveが提供するWordPress用プラグインNinja Formsには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2024-25572

  • Ninja Forms 3.4.31より前のバージョン

CVE-2024-26019、CVE-2024-29220

  • Ninja Forms 3.8.1より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

WordPressとは何か基本を知る

WordPressは世界中で最も多く利用されている無料CMSです。WordPressとは何か?メリット・デメリット、どんな方に向いているか?など基本について解説しています。

詳しくはWordPressとは?ページへ

WordPressとは(ワードプレスとは)
ワードプレス WordPressとは:初心者もブログ・ホームページを無料作成できる

ブログを始めたい時、ホームページやランキングサイトを無料で作りたい時「0円で使えて、お洒落なブログやかっこいいサイト・ホームページが簡単に作れて、機能も追加出来て、検索エンジン上位表示も対応して、自分 ...

続きを見る

まとめ

2024年上半期のWordPressプラグインの脆弱性報告はとても多く、特にWordPressのログインセキュリティを高めるプラグイン「SiteGuard WP Plugin」の脆弱性にはアップデート以外の対策はない(ベンダ情報)とのことですので、至急の対応をお勧めします。
昨年下半期に続いて、ApacheやOpenSSL、EC-CUBE、HTTP/2などWEBサーバー系・プロトコルでの脆弱性報告も多くありますので、日々の運用にお気をつけください。

記事作成者プロフィール

佃 直毅
佃 直毅
株式会社ストレン 代表取締役社長

情報セキュリティマネジメント
2級知的財産管理技能士
ネットショップ実務士レベル2
おすすめ情報サイト「マイベスト」レンタルサーバー・ドメイン監修

当サイトはホスティング業経験から、レンタルサーバー・ドメイン・ワードプレステーマ/テンプレートを中立の視点から比較評価し、始める・切り替える方の立場に立った情報をお届けします。

【仕事略歴】早稲田大商卒。東証一部精密機器メーカー、レコード会社を経て2000年 動画配信レンタルサービス「ストレン」起業、マイクロソフト認定パートナーとしてサーバー構築・運用・PR等に携わる。2015年、東証グロース上場企業・お客様と合意の上、上場企業へユーザー移行後に同ビジネス終了、以降はITコンサルティングとして支援に。

【趣味】プロ野球/MLBなどスポーツ、映画・音楽好き(主に洋楽)