2023年8月に発覚したWordPressの脆弱性とパッチ情報公開、Sucuri

Sucuriは9月28日(米国時間)、「WordPress Vulnerability & Patch Roundup September 2023」において、2023年8月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう、1か月のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。

WordPress Vulnerability & Patch Roundup September 2023

今月は25個の脆弱性とその緩和策が紹介されている。セキュリティリスクの内訳は「重要(High)」が8、「警告(Medium)」が14、「低(Low)」が3となっている。

今月の主な脆弱性は次のとおり。

[重要(High)] CVE-2023-39308 User Feedback plugin - クロスサイトスクリプティングの脆弱性 (XSS)
[重要(High)] CVE-2023-41802 Super Socializer - 不適切なアクセス制御による脆弱性
[重要(High)] CVE-2023-41952 FluentForm - 不適切なアクセス制御による脆弱性
[重要(High)] CVE-2023-41954 ProfilePress - 特権昇格の脆弱性
[重要(High)] CVE-2023-41955 Essential Addons for Elementor - 特権昇格の脆弱性
[重要(High)] CVE-2023-4634 Media Library Assistant - インジェクションの脆弱性
[重要(High)] Form Maker by 10Web - インジェクションの脆弱性
[重要(High)] wpDiscuz - インジェクションの脆弱性
[警告(Medium)] CVE-2023-0689 Metform Elementor Contact Form Builder - 設定ミスによる脆弱性
[警告(Medium)] CVE-2023-41665 GiveWP - 認証誤りによる脆弱性
[警告(Medium)] CVE-2023-4598 Slimstat Analytics - SQL インジェクションの脆弱性
[警告(Medium)] CVE-2023-4620 Booking Calendar - クロスサイトスクリプティングの脆弱性
[警告(Medium)] CVE-2023-4645 Ad Inserter - 設定ミスによるセキュリティ脆弱性
[警告(Medium)] CVE-2023-4774 Connect Matomo (WP-Matomo, WP-Piwik) - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2023-4840 MapPress Maps for WordPress - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2023-4841 Feeds for YouTube - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2023-4945 Booster for WooCommerce - クロスサイトスクリプティングの脆弱性
[警告(Medium)] Enable Media Replace - インジェクションの脆弱性
[警告(Medium)] EWWW Image Optimizer - 設定ミスによる脆弱性
[警告(Medium)] PageLayer - クロスサイトスクリプティングの脆弱性
[警告(Medium)] ShortPixel Image Optimizer - インジェクションの脆弱性
[警告(Medium)] WooCommerce - 設定ミスによる脆弱性
[注意(Low)] CVE-2023-3664 FileOrganizer - 任意ファイルダウンロードの脆弱性
[注意(Low)] CVE-2023-4274 WPvivid Backup and Migration - 設定ミスによる脆弱性
[注意(Low)] GTranslate - クロスサイトスクリプティングの脆弱性 (XSS)