Sucuriは4月27日(米国時間)、「WordPress Vulnerability & Patch Roundup April 2023」において、2023年4月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう、1カ月間に行われたWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。
今月は26個の脆弱性とその緩和策が紹介されている。セキュリティリスクが「重要(High)」が8個、「警告(Medium)」が16個、「低(Low)」が2個となっている。
発表された主な脆弱性は次のとおり。
- CVE-2022-33961 Visual CSS Style Editor – クロスサイトスクリプティングの脆弱性 (XSS)
- CVE-2022-47137 Ninja Tables – Best Data Table Plugin for WordPress – クロスサイトスクリプティングの脆弱性 (XSS)
- CVE-2023-0157 All In One WP Security – クロスサイトスクリプティングの脆弱性 (XSS)
- CVE-2023-0546 FluentForm – クロスサイトスクリプティングの脆弱性 (XSS)
- CVE-2023-1169 OoohBoi Steroids for Elementor – 不適切なアクセス制御による脆弱性
- CVE-2023-1324 Easy Forms for Mailchimp – クロスサイトスクリプティングの脆弱性 (XSS)
- CVE-2023-1420 Ajax Search Lite – Reflected クロスサイトスクリプティングの脆弱性 (XSS)
- CVE-2023-1427 Photo Gallery by 10Web – ディレクトリトラバーサルの脆弱性
- CVE-2023-1478 Hummingbird – パストラバーサルの脆弱性
- CVE-2023-1861 Limit Login Attempts – クロスサイトスクリプティングの脆弱性 (XSS)
- CVE-2023-1911 Blocksy Companion – 機密情報漏えいの脆弱性
- CVE-2023-1913 Maps Widget for Google Maps – クロスサイトスクリプティングの脆弱性
- CVE-2023-2084 Essential Blocks – 不適切なアクセス制御による脆弱性
- CVE-2023-2168 TaxoPress – クロスサイトスクリプティングの脆弱性 (XSS)
- CVE-2023-26015 MapPress Maps for WordPress – Authenticated SQL インジェクションの脆弱性
- CVE-2023-29427 Amelia – クロスサイトスクリプティングの脆弱性 (XSS)
- CVE-2023-29429 User Registration – 不適切なアクセス制御による脆弱性
- CVE-2023-30778 PowerPress Podcasting plugin by Blubrry – クロスサイトスクリプティングの脆弱性 (XSS)
- CVE-2023-30868 CMS Tree Page View – クロスサイトスクリプティングの脆弱性 (XSS)
- Advanced Custom Fields (ACF) – PHP Object インジェクションの脆弱性 vulnerability
- Autoptimize – クロスサイトスクリプティングの脆弱性 (XSS)
- Elementor – SQL インジェクションの脆弱性
- Forminator – 不適切なアクセス制御による脆弱性
- SEOPress – PHP Object インジェクションの脆弱性
- Slimstat Analytics – SQL インジェクションの脆弱性
WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。
情報元
https://news.mynavi.jp/techplus/article/20230501-2667591/
