Sucuriは1月30日(現地時間)、「Vulnerability & Patch Roundup January 2024」において、2023年12月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう、1カ月間に明らかになったWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。

  • Vulnerability & Patch Roundup January 2024

    Vulnerability & Patch Roundup January 2024

今月は28個の脆弱性とその緩和策が紹介されている。セキュリティリスクが「重要(High)」が3、「警告(Medium)」が21、「低(Low)」が4となっている。

12月WordPressプラグインの主な脆弱性

今月の主な脆弱性は次のとおり。

  • [重要(High)] CVE-2023-51415 GiveWP - クロスサイトスクリプティングの脆弱性
  • [重要(High)] CVE-2023-6600 OMGF - チェック欠落による脆弱性およびクロスサイトスクリプティングの脆弱性
  • [重要(High)] CVE-2023-6634 LearnPress - SQL インジェクションの脆弱性
  • [警告(Medium)] CVE-2023-6524 MapPress Maps for WordPress - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2023-6594 WordPress Button Plugin MaxButtons - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2023-6697 WP Google Maps - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2023-6738 PageLayer - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2023-6751 Hostinger - チェック欠落による脆弱性
  • [警告(Medium)] CVE-2023-6776 3D Flipbook - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2023-6808 Amelia - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2023-6884 Plugin for Google Reviews - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2023-6958 WP Recipe Maker - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2023-6986 EmbedPress - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2023-6994 List category posts - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2023-7019 LightStart - チェック欠落による脆弱性
  • [警告(Medium)] CVE-2023-7027 POST SMTP Mailer - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2023-7044 Essential Addons for Elementor - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2023-7071 Essential Blocks - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2024-0508 Orbit Fox Companion - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2024-0587 AMP for WP - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2024-22146 Schema - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] CVE-2024-22147 PDF Invoices - SQL インジェクションの脆弱性
  • [警告(Medium)] Happy Elementor Addons - クロスサイトスクリプティングの脆弱性
  • [警告(Medium)] WooCommerce - クロスサイトスクリプティングの脆弱性
  • [注意(Low)] CVE-2023-6498 Complianz GDPR/CCPA Cookie Consent - クロスサイトスクリプティングの脆弱性
  • [注意(Low)] CVE-2024-0618 FluentForm - クロスサイトスクリプティングの脆弱性
  • [注意(Low)] CVE-2024-0630 WP RSS Aggregator - クロスサイトスクリプティングの脆弱性
  • [注意(Low)] CVE-2024-0691 Filebird - クロスサイトスクリプティングの脆弱性

WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営している場合、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。