こんにちは。プライム・ストラテジーの相馬理紗です。 WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。

今回は、2025年3月6日~26日に報告されたWordPress脆弱性のうち、:Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。 - WordPress.orgにおける“Active installations"が10万以上である - 日本語の翻訳に対応している

深刻度が高い脆弱性

深刻度が高い脆弱性は以下2件です。

プラグイン:WordPress Importer

対象製品 WordPress Importer
対象バージョン 0.8.3までの全てのバージョン
修正バージョン 0.8.4
CVSS 高 (7.2)
脆弱性概要 0.8.3までの全てのバージョンに、'maybe_unserialize'関数で信頼できない入力をデシリアライズすることにより、 PHP オブジェクトインジェクションの脆弱性が存在する。攻撃者が管理者以上の権限を持つユーザーで認証済みの場合に、PHPオブジェクトを挿入できる。ログイン (認証) が必要な攻撃だが、POPチェインの有無が不明な場合はアップデートが必要
対応方法 0.8.4以降にアップデートする
CVE https://www.cve.org/CVERecord?id=CVE-2024-13889
公開日 2025-03-25 00:00:00 (2025-03-26 11:22:10更新)
詳細 https://www.wordfence.com/threat-intel/vulnerabilities/id/5f0795f7-6eba-4ff0-b0da-5d2b544adf14

プラグイン:All-in-One WP Migration and Backup

この記事は
Members+会員の方のみ御覧いただけます

ログイン/無料会員登録

会員サービスの詳細はこちら