WordPressの脆弱性とセキュリティパッチ: 2023年6月まとめ

Sucuriは2023年6月27日(米国時間)、「WordPress Vulnerability & Patch Roundup June 2023」において、2023年6月に公開された、オープンソースのCMS「WordPress」の脆弱性およびセキュリティパッチについて伝えた。SucuriはWebサイト所有者に対し、新たな脅威を把握して対処してもらえるよう、1カ月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。

今月は23個の脆弱性とその緩和策が紹介されている。各脆弱性のセキュリティリスクは「緊急(Critical)」が1、「重要(High)」が9、「警告(Medium)」が13となっている。

今月の主な脆弱性は次のとおり。

  • [緊急(Critical)] CVE-2023-34007 Download Monitor – 任意ファイルアップデートの脆弱性
  • [重要(High)] CVE-2023-25700 Tutor LMS – インジェクションの脆弱性
  • [重要(High)] CVE-2023-2654 Conditional Menus – クロスサイトスクリプティングの脆弱性 (XSS)
  • [重要(High)] CVE-2023-2986 Abandoned Cart Lite for WooCommerce – 認証機能不全の脆弱性
  • [重要(High)] CVE-2023-3081 WP Mail Logging – クロスサイトスクリプティングの脆弱性 (XSS)
  • [重要(High)] CVE-2023-31219 Download Monitor – インジェクションの脆弱性
  • [重要(High)] CVE-2023-31231 Unlimited Elements For Elementor – 誤ったセキュリティ設定の脆弱性
  • [重要(High)] CVE-2023-35049 WooCommerce Stripe Payment Gateway – 不適切なアクセス制御による脆弱性
  • [重要(High)] CVE-2023-35876 WooCommerce Square – インセキュア・ダイレクト・オブジェクト参照(IDOR)の脆弱性
  • [重要(High)] Jetpack – 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2020-36722 Visual Composer – Multiple クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-0583 VK Blocks – 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2023-0708 Metform Elementor Contact Form Builder – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-1166 Social Media Share Buttons – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-1524 Download Manager – 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2023-2450 FiboSearch – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-32580 Password Protected – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-33995 Photo Gallery by 10Web – 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2023-34382 Dokan – PHP Object インジェクションの脆弱性
  • [警告(Medium)] CVE-2023-35046 Dynamic Visibility for Elementor – 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2023-35875 Gutenverse – Gutenberg Blocks – Page Builder for Site Editor – 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2023-35882 Super Socializer – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] PowerPress Podcasting – クロスサイトスクリプティングの脆弱性 (XSS)

国内最大級の品揃え【DMMブックス】ロリポップ!
ファッション雑誌No.1 宝島社公式通販サイト『宝島チャンネル』

WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。

情報元
https://news.mynavi.jp/techplus/article/20230629-2714498/