Sucuriは10月29日(米国時間)、「WordPress Vulnerability & Patch Roundup October 2022」において、2022年10月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握し、対処してもらえるよう1か月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。

  • WordPress Vulnerability & Patch Roundup October 2022

    WordPress Vulnerability & Patch Roundup October 2022

今月は16個の脆弱性とその緩和策が紹介されている。セキュリティリスクが「重要(High)」が4つ、「警告(Medium)」が12個となっている。10月のセキュリティリスクに「緊急(Critical)」は報告されていない。なお、WordPressの新たなセキュリティ更新プログラムのリリースが報告されているため、注意が必要。

この最新のアップデートでは、wp-mail.php経由でStored型クロスサイトスクリプティング(XSS: Cross-Site Scripting)など多くのセキュリティ問題や脆弱性が修正されている。リスクを軽減するためにWordPressをできるだけ早く最新バージョンに更新することが望まれている。

今月の主な脆弱性およびその緩和策は次のとおり。

項目 脆弱性 緩和策
WP Super Cache キャッシュポイズニング WP Super Cacheプラグインのバージョンを1.9以降に更新
Smart Slider 3 PHP Object Injection Smart Slider 3プラグインのバージョンを3.5.1.11以降に更新
Ocean Extra PHP Object Injection Ocean Extraプラグインのバージョンを2.0.5以降に更新
Easy WP SMTP 認証済みのPHP Object Injection Easy WP SMTPプラグインのバージョンを1.5.0以降に更新
Complianz GDPR/CCPA Cookie Consent 認証済みのSQL Injection(SQLi) Complianz GDPR/CCPA Cookie Consentプラグインのバージョンを6.3.4以降に更新
FluentForm Contact Form CSV Injection FluentForm Contact Formプラグインのバージョンを4.3.13以降に更新
Customizer Export/Import 認証済みのPHP Object Injection Customizer Export/Importプラグインのバージョンを0.9.5以降に更新
reSmush.it Image Optimizer 認証済みのStored Cross-Site Scripting(XSS) reSmush.it Image Optimizerプラグインのバージョンを0.4.6以降に更新
Kadence WooCommerce Email Designer 認証済みのPHP Object Injection Kadence WooCommerce Email Designerプラグインのバージョンを1.5.7以降に更新
AntiSpam by CleanTalk 認証済みのSQL Injection(SQLi) AntiSpam by CleanTalkプラグインのバージョンを5.185.1以降に更新
LearnPress 未認証のPHP Object Injection LearnPressプラグインのバージョンを4.1.7.2以降に更新
Envira Gallery Lite Reflected Cross-Site Scripting(XSS) Envira Gallery Liteプラグインのバージョンを1.8.4.7以降に更新
PublishPress Capabilities 認証済みのPHP Object Injection PublishPress Capabilitiesプラグインのバージョンを2.5.2以降に更新
Manage Notification E-mails Cross-Site Request Forgery(CSRF) Manage Notification E-mailsプラグインのバージョンを1.8.3以降に更新
Form Maker 認証済みのSQL Injection(SQLi) Form Makerプラグインのバージョンを1.15.6以降に更新
ImageMagick Engine Cross-Site Request Forgery(CSRF)によるリモートコード実行 ImageMagick Engineプラグインのバージョンを1.7.6以降に更新

WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。