Sucuriは8月31日(米国時間)、「WordPress Vulnerability & Patch Roundup August 2023」において、2023年8月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう、1カ月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。

  • WordPress Vulnerability & Patch Roundup August 2023

    WordPress Vulnerability & Patch Roundup August 2023

今月は21個の脆弱性とその緩和策が紹介されている。セキュリティリスクが「緊急(Critical)」が2、「重要(High)」が4、「警告(Medium)」が12、「低(Low)」が3となっている。

今月の主な脆弱性は次のとおり。

  • [緊急(Critical)] Forminator - ファイルアップデートの脆弱性
  • [緊急(Critical)] TI WooCommerce Wishlist - SQL インジェクションの脆弱性
  • [重要(High)] CVE-2023-3992 PostX – Gutenberg Post Grid Blocks - クロスサイトスクリプティングの脆弱性 (XSS)
  • [重要(High)] CVE-2023-40211 Post Grid Combo - 機密情報漏えいの脆弱性
  • [重要(High)] CVE-2023-40554 Blog2Social - クロスサイトスクリプティングの脆弱性 (XSS)
  • [重要(High)] Gutenberg Blocks by Kadence Blocks – Page Builder Features - 任意ファイルアップデートの脆弱性
  • [警告(Medium)] CVE-2023-34001 Hide My WP Ghost - バイパスの脆弱性
  • [警告(Medium)] CVE-2023-3604 Change WP Admin Login - セキュリティに関する誤った設定に基づく脆弱性
  • [警告(Medium)] CVE-2023-39993 ElementsKit Elementor addons - 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2023-40001 iThemes Sync - 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2023-40011 Cost Calculator Builder - 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2023-40204 Folders - 任意ファイルアップデートの脆弱性
  • [警告(Medium)] CVE-2023-40676 Slimstat Analytics - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-4254 AI Engine - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-4283 EmbedPress - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] Advanced Custom Fields (ACF) - Authenticated クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] Folders - 不適切なアクセス制御による脆弱性
  • [警告(Medium)] Profile Builder - 不適切なアクセス制御による脆弱性
  • [注意(Low)] CVE-2023-2916 InfiniteWP Client - 機密情報漏えいの脆弱性
  • [注意(Low)] CVE-2023-3814 Advanced File Manager - 機密情報漏えいの脆弱性
  • [注意(Low)] wpDataTables - PHP Object インジェクションの脆弱性

WordPressはシェアが大きく、その脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。