Sucuriは11月29日(米国時間)、「WordPress Vulnerability & Patch Roundup November 2022」において、2022年11月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう、1カ月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。

  • WordPress Vulnerability & Patch Roundup November 2022

    WordPress Vulnerability & Patch Roundup November 2022

今月は15個の脆弱性とその緩和策が紹介されている。セキュリティリスクの脆弱性が「重要(High)」が1個、「警告(Medium)」の脆弱性が10、「低(Low)」の脆弱性が4つとなっている。報告されている脆弱性の数は前月と比較してほぼ同じで、11月のセキュリティリスクに「緊急(Critical)」は報告されていない。

今月の主な脆弱性およびその緩和策は次のとおり。

項目 脆弱性 緩和策
All-In-One Security(AIOS) Multiple Cross-Site Request Forgery(CSRF) All-In-One Security(AIOS)プラグインのバージョンを5.1.1以降に更新
Checkout Field Editor for WooCommerce PHP Object Injection Checkout Field Editor for WooCommerceプラグインのバージョンを1.8.0以降に更新
Plugin for Google Reviews Broken Access Control Plugin for Google Reviewsプラグインのバージョンを2.2.4以降に更新
Chaty SQLi Chatyプラグインのバージョンを3.0.3以降に更新
Web Stories Server-Side Request Forgery(SSRF) Web Storiesプラグインのバージョンを1.25.0以降に更新
Crowdsignal Dashboard 特権昇格 Crowdsignal Dashboardプラグインのバージョンを3.1.10以降に更新
Blog2Social オーソライズの欠落 Blog2Socialプラグインのバージョンを6.9.12以降に更新
Advanced Import CSRFによる任意のプラグインのインストールと有効化 Advanced Importプラグインのバージョンを1.3.8以降に更新
Permalink Manager Lite CSRFによる設定変更 Permalink Manager Liteプラグインのバージョンを2.2.20.2以降に更新
Beautiful Cookie Consent Banner Stored Cross-Site Scripting(XSS) Beautiful Cookie Consent Bannerプラグインのバージョンを2.9.1以降に更新
Easy Video Player Stored Cross-Site Scripting(XSS) Easy Video Playerプラグインのバージョンを1.2.2.3以降に更新

WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。