こんにちは。プライム・ストラテジーの相馬理紗です。 WordPressのプラグイン・テーマの脆弱性情報を公開しているWebサイト「Wordfence」から、日本の利用者にも影響がありそうなものを中心に紹介する本連載。
今回は、2025年3月6日~26日に報告されたWordPress脆弱性のうち、:Wordfenceが公開しているデータフィードより以下の条件を満たすものを紹介します。 - WordPress.orgにおける“Active installations"が10万以上である - 日本語の翻訳に対応している
深刻度が高い脆弱性
深刻度が高い脆弱性は以下2件です。
プラグイン:WordPress Importer
対象製品 | WordPress Importer |
---|---|
対象バージョン | 0.8.3までの全てのバージョン |
修正バージョン | 0.8.4 |
CVSS | 高 (7.2) |
脆弱性概要 | 0.8.3までの全てのバージョンに、'maybe_unserialize'関数で信頼できない入力をデシリアライズすることにより、 PHP オブジェクトインジェクションの脆弱性が存在する。攻撃者が管理者以上の権限を持つユーザーで認証済みの場合に、PHPオブジェクトを挿入できる。ログイン (認証) が必要な攻撃だが、POPチェインの有無が不明な場合はアップデートが必要 |
対応方法 | 0.8.4以降にアップデートする |
CVE | https://www.cve.org/CVERecord?id=CVE-2024-13889 |
公開日 | 2025-03-25 00:00:00 (2025-03-26 11:22:10更新) |
詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/5f0795f7-6eba-4ff0-b0da-5d2b544adf14 |