Sucuriは9月29日(米国時間)、「WordPress Vulnerability & Patch Roundup September 2022」において、2022年9月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらうよう、1カ月ごとにWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。
-
WordPress Vulnerability & Patch Roundup September 2022
今月は27個の脆弱性とその緩和策が紹介されている。セキュリティリスクが「警告(Medium)」が16、「低(Low)」が11となっている。9月のセキュリティリスクに「緊急(Critical)」および「重要(High)」は報告されていない。しかしながらセキュリティリスクの数はここ数か月増加傾向にあり、2022年9月はWordPressのEコマースプラグインであるWooCommerce周りのプラグインの脆弱性が多くなっているため、注意が必要。
今月の主な脆弱性およびその緩和策は次のとおり。
| 項目 | 脆弱性 | 緩和策 |
|---|---|---|
| Contact Form by WPForms | 未認証の任意のファイルアクセス | WPFormsプラグインのバージョンを1.7.5.5以降に更新 |
| WordPress All in One SEO | Multiple Cross-Site Request Forgeries | All in One SEOプラグインのバージョンを4.2.4以降に更新 |
| WordPress SVG Support | 認証済みのStored Cross-Site Scripting(XSS) | WordPress SVG Supportプラグインのバージョンを2.5以降に更新 |
| Activity Log | CSVインジェクション | Activity Logプラグインのバージョンを2.8.4以降に更新 |
| Booster for WooCommerce | 注文状況の任意更新 | Booster for WooCommerceプラグインのバージョンを5.6.3以降に更新 |
| WordPress SearchWP Live Ajax Search | 未認証のLocal File Inclusion(LFI) | SearchWP Live Ajax Searchプラグインのバージョンを5.6.3以降に更新 |
| Customer Reviews for WooCommerce | 機密情報の開示 | Customer Reviews for WooCommerceプラグインのバージョンを5.3.6以降に更新 |
| CallRail Phone Call Tracking | 認証済みのStored Cross-Site Scripting(XSS) | CallRail Phone Call Trackingプラグインのバージョンを0.4.10以降に更新 |
| wpForo Forum | Cross-Site Request Forgery(CSRF) | wpForo Forumプラグインのバージョンを2.0.6以降に更新 |
| Advanced Dynamic Pricing for WooCommerce | Cross-Site Request Forgery(CSRF) | Advanced Dynamic Pricing for WooCommerceプラグインのバージョンを4.1.4以降に更新 |
| Rate my Post: WP Rating System | Cross-Site Request Forgery(CSRF) | WP Rating Systemプラグインのバージョンを3.3.5以降に更新 |
| Passster | パスワードの安全な保管 | Passsterプラグインのバージョンを3.5.5.5.2以降に更新 |
| Awesome Support | Multiple Authenticated Stored Cross-Site Scripting(XSS) | Awesome Supportプラグインのバージョンを6.0.8以降に更新 |
| GetResponse | Cross-Site Request Forgery(CSRF)によるAPIキーの更新 | GetResponseプラグインのバージョンを5.5.21以降に更新 |
| Pop-up | Cross-Site Request Forgery(CSRF)による任意の設定変更 | Pop-upプラグインのバージョンを1.1.6以降に更新 |
| Goolytics | 認証済みのStored Cross-Site Scripting(XSS) | Goolyticsプラグインのバージョンを1.1.2以降に更新 |
WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。
GoogleアカウントがGmailアドレス「@gmail.com」の変更に対応
