5月のWordPressプラグイン脆弱性まとめ、確認と対応を

画像提供：マイナビニュース

Sucuriは5月28日(米国時間)、「WordPress Vulnerability & Patch Roundup May 2024」において、2024年5月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう、1カ月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。

今月は37件の脆弱性とその緩和策が紹介されている。セキュリティリスクが「重要(High)」と評価されているソフトウェアは3件、「警告(Medium)」は25件、「低(Low)」は9件となっている。
○5月WordPressプラグインの主な脆弱性

今月の主な脆弱性は次のとおり。

[重要(High)] CVE-2024-4709 Contact Form Plugin by Fluent Forms - クロスサイトスクリプティングの脆弱性 (XSS)
[重要(High)] CVE-2024-3055 Unlimited Elements For Elementor - SQL インジェクションの脆弱性
[重要(High)] CVE-2024-4180 The Events Calendar - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2023-6327 ShopLentor - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-3189 Gutenberg Blocks with AI by Kadence WP - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-3345 ShopLentor All in One Solution (旧WooLentor) - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-34373 The Plus Addons for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-3550 WP Shortcodes Plugin - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-3650 ElementsKit - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-3714 GiveWP - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-3887 Royal Elementor Addons and Templates - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-3952 Advanced Ads - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-3956 Pods - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-3974 BuddyPress - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4203 Premium Addons for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4334 Supreme Modules Lite - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4339 Prime Slider - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4392 Jetpack - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4430 Beaver Builder - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4446 Content Views - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4487 Blocksy Companion - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4617 Rank Math SEO with AI Best SEO Tools - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4619 Elementor Website Builder – More than Just a Page Builder - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4630 Starter Templates - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4634 Elementor Header & Footer Builder - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4876 HT Mega - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4891 Essential Blocks - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4984 Yoast SEO - クロスサイトスクリプティングの脆弱性 (XSS)
[注意(Low)] CVE-2024-0437 Password Protected - 不適切なアクセス制御の脆弱性
[注意(Low)] CVE-2024-2744 NextGEN Gallery - クロスサイトスクリプティングの脆弱性 (XSS)
[注意(Low)] CVE-2024-34433 One Click Demo Import - PHP Object インジェクションの脆弱性
[注意(Low)] CVE-2024-4280 White Label CMS - 不適切なアクセス制御の脆弱性
[注意(Low)] CVE-2024-4361 Page Builder by SiteOrigin - クロスサイトスクリプティングの脆弱性 (XSS)
[注意(Low)] CVE-2024-4624 Essential Addons for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
[注意(Low)] CVE-2024-4635 Menu Icons by ThemeIsle - クロスサイトスクリプティングの脆弱性 (XSS)
[注意(Low)] CVE-2024-4636 Image Optimization by Optimole - クロスサイトスクリプティングの脆弱性 (XSS)
[注意(Low)] CVE-2024-4865 Happy Addons for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)

今月はWordPress 6.5.3がリリースされた。このマイナーリリースにはCoreに関する12件のバグの修正と、Blockエディターに関する9件のバグの修正が含まれている。

WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。
（後藤大地）