6月のWordPressプラグイン脆弱性まとめ、確認と対応を

画像提供：マイナビニュース

Sucuriは6月28日(米国時間)、「WordPress Vulnerability & Patch Roundup June 2024」において、2024年6月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう1か月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。

今月は40件の脆弱性とその緩和策が紹介されている。セキュリティリスクが「緊急(Critical)」と評価されているソフトウェアは2件、「重要(High)」は3件、「警告(Medium)」は24件、「低(Low)」は11件となっている。

○6月WordPressプラグインの主な脆弱性

今月の主な脆弱性は次のとおり。

[緊急(Critical)] CVE-2024-37252 Email Subscribers by Icegram Express - SQLインジェクションの脆弱性
[緊急(Critical)] WooCommerce - クロスサイトスクリプティングの脆弱性 (XSS)
[重要(High)] CVE-2024-3105 Woody code snippets – リモートコード実行(RCE: Remote Code Execution)の脆弱性
[重要(High)] CVE-2024-3549 Blog2Social: Social Media Auto Post - SQLインジェクションの脆弱性
[重要(High)] CVE-2023-6696、CVE-2024-2544 Popup Builder - ブラインドサーバーサイドリクエストフォージェリー(SSRF: Server-Side Request Forgery)のセキュリティ脆弱性および不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2022-44581 Defender Security - 不適切な認証の脆弱性
[警告(Medium)] CVE-2023-3352 Smush Image Optimization - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2023-6692 Ultimate Blocks - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-1168 SEOPress - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-1766 Download Manager - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-2473 WPS Hide Login - 秘匿されたログインページ開示の脆弱性
[警告(Medium)] CVE-2024-2484 Orbit Fox by ThemeIsle - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-37252 Email Subscribers by Icegram Express - SQLインジェクションの脆弱性
[警告(Medium)] CVE-2024-4390 Slider & Popup Builder by Depicter - 不適切なアクセス制御による脆弱性
[警告(Medium)] CVE-2024-4479 Jeg Elementor Kit - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4632 WooCommerce Checkout & Funnel Builder by CartFlows - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-4863 Gutenberg Blocks with AI by Kadence WP - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5036 Sina Extension for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5090 SiteOrigin Widgets Bundle - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5189 Essential Addons for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5530 ShopLentor - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5531 Ocean Extra - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5553 Premium Addons for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5584 WordPress Online Booking and Scheduling Plugin – Bookly - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5605 Media Library Assistant - SQLインジェクションの脆弱性
[警告(Medium)] CVE-2024-5757 Elementor Header & Footer Builder - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5787 PowerPack Addons for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2024-5994 WP Go Maps - クロスサイトスクリプティングの脆弱性 (XSS)
[警告(Medium)] CVE-2022-44593 Solid Security - 信頼性の低いソース使用の脆弱性
[注意(Low)] CVE-2022-44587 WP 2FA - 機密情報漏えいの脆弱性
[注意(Low)] CVE-2024-0789 WP Maintenance - メンテナンスモードバイパスの脆弱性
[注意(Low)] CVE-2024-2122 FooGallery - クロスサイトスクリプティングの脆弱性 (XSS)
[注意(Low)] CVE-2024-3492 Events Manager – Calendar, Bookings, Tickets, and more! - クロスサイトスクリプティングの脆弱性 (XSS)
[注意(Low)] CVE-2024-37881 SiteGuard WP Plugin - 秘匿されたログインページ開示の脆弱性
[注意(Low)] CVE-2024-3961 ConvertKit - 不適切なアクセス制御による脆弱性
[注意(Low)] CVE-2024-4145 Search & Replace - SQLインジェクションの脆弱性
[注意(Low)] CVE-2024-4149 Floating Chat Widget – Chaty - クロスサイトスクリプティングの脆弱性 (XSS)
[注意(Low)] CVE-2024-4266 MetForm - 機密情報漏えいの脆弱性
[注意(Low)] CVE-2024-4924 Sassy Social Share - クロスサイトスクリプティングの脆弱性 (XSS)
[注意(Low)] CVE-2024-5639 User Profile Picture - 不適切なアクセス制御による脆弱性

WordPressの脆弱性はサイバーセキュリティ犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。
（後藤大地）