Sucuriは11月29日(米国時間)、「WordPress Vulnerability & Patch Roundup November 2022」において、2022年11月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう、1カ月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。
今月は15個の脆弱性とその緩和策が紹介されている。セキュリティリスクの脆弱性が「重要(High)」が1個、「警告(Medium)」の脆弱性が10、「低(Low)」の脆弱性が4つとなっている。報告されている脆弱性の数は前月と比較してほぼ同じで、11月のセキュリティリスクに「緊急(Critical)」は報告されていない。
今月の主な脆弱性およびその緩和策は次のとおり。
項目 | 脆弱性 | 緩和策 |
---|---|---|
All-In-One Security(AIOS) | Multiple Cross-Site Request Forgery(CSRF) | All-In-One Security(AIOS)プラグインのバージョンを5.1.1以降に更新 |
Checkout Field Editor for WooCommerce | PHP Object Injection | Checkout Field Editor for WooCommerceプラグインのバージョンを1.8.0以降に更新 |
Plugin for Google Reviews | Broken Access Control | Plugin for Google Reviewsプラグインのバージョンを2.2.4以降に更新 |
Chaty | SQLi | Chatyプラグインのバージョンを3.0.3以降に更新 |
Web Stories | Server-Side Request Forgery(SSRF) | Web Storiesプラグインのバージョンを1.25.0以降に更新 |
Crowdsignal Dashboard | 特権昇格 | Crowdsignal Dashboardプラグインのバージョンを3.1.10以降に更新 |
Blog2Social | オーソライズの欠落 | Blog2Socialプラグインのバージョンを6.9.12以降に更新 |
Advanced Import | CSRFによる任意のプラグインのインストールと有効化 | Advanced Importプラグインのバージョンを1.3.8以降に更新 |
Permalink Manager Lite | CSRFによる設定変更 | Permalink Manager Liteプラグインのバージョンを2.2.20.2以降に更新 |
Beautiful Cookie Consent Banner | Stored Cross-Site Scripting(XSS) | Beautiful Cookie Consent Bannerプラグインのバージョンを2.9.1以降に更新 |
Easy Video Player | Stored Cross-Site Scripting(XSS) | Easy Video Playerプラグインのバージョンを1.2.2.3以降に更新 |
WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。