Sucuriはこのほど、「WordPress Vulnerability & Patch Roundup April 2024」において、2024年4月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう、1カ月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。

  • WordPress Vulnerability & Patch Roundup April 2024

    WordPress Vulnerability & Patch Roundup April 2024

今月は43件の脆弱性とその緩和策が紹介されている。セキュリティリスクが「重要(High)」と評価されているソフトウェアは2件、「警告(Medium)」は37件、「低(Low)」は4件となっている。

4月WordPressプラグインの主な脆弱性

今月の主な脆弱性は次のとおり。

  • [重要(High)] CVE-2024-2417 User Registration - 不適切なアクセス制御による脆弱性
  • [重要(High)] CVE-2024-2876 Icegram Express - SQL インジェクションの脆弱性
  • [警告(Medium)] CVE-2023-6486 Spectra – WordPress Gutenberg Blocks - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-6877 RSS Aggregator by Feedzy - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-0376 Premium Addons for Elementor - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-0837 Element Pack Elementor Addons - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-1428 Element Pack Elementor Addons - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-1463 LearnPress - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-1957 GiveWP - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2345 FileBird - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2471 FooGallery - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2503 Exclusive Addons for Elementor - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2539 Elementor Addons by Livemesh - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2656 Icegram Express - クロスサイトスクリプティングのセキュリティ脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2665 Premium Addons for Elementor - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2666 Premium Addons for Elementor - DOM-Based Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2765 Ultimate Member - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2788 Happy Addons for Elementor - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2803 ElementsKit Elementor addons - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2830 WordPress Tag and Category Manager - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2840 Enhanced Media Library - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2867 ProfilePress - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2868 ShopLentor - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2919 Gutenberg Blocks by Kadence Blocks - DOM-Based Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-2949 WP Carousel - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-29934 Piotnet Addons For Elementor - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-3027 Smart Slider 3 - ファイルアップロードに機能チェック欠落の脆弱性
  • [警告(Medium)] CVE-2024-3053 Forminator - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-31306 Essential Blocks for Gutenberg - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-3167 Ocean Extra - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-3208 Sydney Toolbox - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-3244 EmbedPress - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-3266 Bold Page Builder - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-3285 Slider, Gallery, and Carousel by MetaSlider - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-3308 HT Mega – Absolute Addons For Elementor - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-3333 Essential Addons for Elementor - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-3343 Otter Blocks - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-3703 Carousel Slider - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] Gutenberg - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2023-6494 WPC Smart Quick View for WooCommerce - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2024-0662 FancyBox for WordPress - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2024-2296 Photo Gallery by 10Web - Stored クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2024-2654 File Manager - ディレクトリートラバーサルの脆弱性

WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。