Sucuriは10月30日(米国時間)、「WordPress Vulnerability & Patch Roundup October 2023」において、2023年9月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう、WordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。

  • WordPress Vulnerability & Patch Roundup October 2023

    WordPress Vulnerability & Patch Roundup October 2023

今月は24個の脆弱性とその緩和策が紹介されている。セキュリティリスクの内訳は「重要(High)」が4個、「警告(Medium)」が18個、「低(Low)」が1個となっている。

今月の主な脆弱性は次のとおり。

  • [重要(High)] CVE-2023-45070 Form Maker by 10Web - クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
  • [重要(High)] CVE-2023-46153 User Feedback - クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
  • [重要(High)] CVE-2023-5311 WP EXtra - 認証処理の欠如をもたらす脆弱性
  • [重要(High)] CVE-2023-5815 News & Blog Designer Pack - リモートコード実行の脆弱性
  • [警告(Medium)] CVE-2023-24385 Media Library Assistant - クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
  • [警告(Medium)] CVE-2023-39920 Redirection for Contact Form 7 - 不適切なアクセス制御により不正なユーザーがアクセス制御を回避する危険性をもたらす脆弱性
  • [警告(Medium)] CVE-2023-4372 LiteSpeed Cache - クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
  • [警告(Medium)] CVE-2023-44150 ProfilePress - 情報漏洩の脆弱性
  • [警告(Medium)] CVE-2023-45101 eustomer Reviews for WooCommerce - 不適切なアクセス制御により不正なユーザーがアクセス制御を回避する危険性をもたらす脆弱性
  • [警告(Medium)] CVE-2023-45607 WordPress Popular Posts - ストアドクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
  • [警告(Medium)] CVE-2023-46309 wpDiscuz - 不適切なアクセス制御により不正なユーザーがアクセス制御を回避する危険性をもたらす脆弱性
  • [警告(Medium)] CVE-2023-5049 Giveaways and Contests by RafflePress - Stored クロスサイトスクリプティングのセキュリティ脆弱性
  • [警告(Medium)] CVE-2023-5070 Social Media - 情報漏洩の脆弱性
  • [警告(Medium)] CVE-2023-5454 Templately - 不適切なアクセス制御により不正なユーザーがアクセス制御を回避する危険性をもたらす脆弱性
  • [警告(Medium)] CVE-2023-5414 Icegram Express - インジェクションの脆弱性
  • [警告(Medium)] CVE-2023-5576 Migration, Backup, Staging – WPvivid - 情報漏洩の脆弱性
  • [警告(Medium)] CVE-2023-5638 Booster for WooCommerce - クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
  • [警告(Medium)] CVE-2023-5706 VK Blocks - クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
  • [警告(Medium)] 10Web Booster – 不適切なアクセス制御により不正なユーザーがアクセス制御を回避する危険性をもたらす脆弱性
  • [警告(Medium)] All In One WP Security - URLエンコーディングを利用したログインページのリネームによるプロテクションバイパスの脆弱性
  • [警告(Medium)] Master Addons for Elementor - クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
  • [警告(Medium)] Store Exporter for WooCommerce - リフレクテッドクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
  • [注意(Low)] Post SMTP - SQLインジェクションの脆弱性

WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。