Sucuriは11月24日(米国時間)、「WordPress Vulnerability & Patch Roundup November 2023」において、2023年10月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう、WordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。
今月は19個の脆弱性とその緩和策が紹介されている。セキュリティリスクの内訳は「重要(High)」が1個、「警告(Medium)」が8個、「低(Low)」が9個となっている。
今月の主な脆弱性は次のとおり。
- [重要(High)] CVE-2023-47505 Elementor Website Builder - ストアドクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
- [警告(Medium)] CVE-2023-4775 Advanced iFrame - ストアドクロスサイトスクリプティング(XSS)の脆弱性
- [警告(Medium)] CVE-2023-4888 Simple Like Page Plugin - ストアドクロスサイトスクリプティング(XSS)の脆弱性
- [警告(Medium)] CVE-2023-47529 Cloud Templates & Patterns Collection - 機密情報漏えいの脆弱性
- [警告(Medium)] CVE-2023-47681 WooCommerce Checkout Manager - 不適切なアクセス制御による脆弱性
- [警告(Medium)] CVE-2023-47693 Ultimate Addons for Contact Form 7 - 不適切なアクセス制御による脆弱性
- [警告(Medium)] CVE-2023-47754 Delete Duplicate Posts - 不適切なアクセス制御による脆弱性
- [警告(Medium)] Ecwid Ecommerce Shopping Cart - 不適切なアクセス制御によるセキュリティ脆弱性
- [警告(Medium)] LearnPress – WordPress LMS Plugin - リフレクテッドクロスサイトスクリプティング(XSS)の脆弱性
- [警告(Medium)] NitroPack - 認証処理欠如による脆弱性
- [注意(Low)] CVE-2023-4726 Ultimate Dashboard - ストアドクロスサイトスクリプティング(XSS)の脆弱性
- [注意(Low)] CVE-2023-4810 Responsive Pricing Table - ストアドクロスサイトスクリプティング(XSS)の脆弱性
- [注意(Low)] CVE-2023-4842 Social Sharing Plugin - Social Warfare - ストアドクロスサイトスクリプティング(XSS)の脆弱性
- [注意(Low)] CVE-2023-33998 Easy Social Icons - 不適切なアクセス制御による脆弱性
- [注意(Low)] CVE-2023-47530 Redirect 404 Error Page to Homepage or Custom Page with Logs - SQLインジェクション
- [注意(Low)] CVE-2023-47546 OneClick Chat to Order - ストアドクロスサイトスクリプティング(XSS)の脆弱性
- [注意(Low)] CVE-2023-5605 URL Shortify - ストアドクロスサイトスクリプティング(XSS)の脆弱性
- [注意(Low)] Popup Box – ストアドクロスサイトスクリプティング(XSS)の脆弱性
- [注意(Low)] Solid Central - ストアドクロスサイトスクリプティング(XSS)の脆弱性
WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。