7月のWordPressプラグイン脆弱性まとめ、確認と対応を

Sucuriはこのほど、「WordPress Vulnerability & Patch Roundup July 2024」において、2024年7月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう1か月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。

今月は48件の脆弱性とその緩和策が紹介されている。セキュリティリスクが「緊急(Critical)」と評価されているソフトウェアは2件、「重要(High)」は5件、「警告(Medium)」は29件、「低(Low)」は12件となっている。

7月WordPressプラグインの主な脆弱性

今月の主な脆弱性は次のとおり。

  • [緊急(Critical)] CVE-2024-6457 HUSKY – SQLインジェクションの脆弱性
  • [緊急(Critical)] CVE-2024-6828 Redux Framework – クロスサイトスクリプティングの脆弱性 (XSS)
  • [重要(High)] CVE-2024-37486 Paid Memberships Pro – SQLインジェクションの脆弱性
  • [重要(High)] CVE-2024-38775 CTX Feed – 特権昇格の脆弱性
  • [重要(High)] CVE-2024-5544 Media Library Assistant – クロスサイトスクリプティングの脆弱性 (XSS)
  • [重要(High)] CVE-2024-5626 Inline Related Posts – クロスサイトスクリプティングの脆弱性 (XSS)
  • [重要(High)] CVE-2024-5902 User Feedback – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-1937 Brizy – 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2024-3026 MaxButtons – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-33933 Elementor Header – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-3587 Premium Portfolio Features for Phlox theme – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-37492 Gutenberg – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-37500 Beaver Builder – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-37516 FIFU – 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2024-37517 Spectra – 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2024-37934 Ninja Forms – 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2024-37943 YITH WooCommerce Ajax Product Filter – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-38706 HT Mega – パストラバーサルの脆弱性
  • [警告(Medium)] CVE-2024-38707 EmbedPress – 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2024-38774 Security Optimizer – 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2024-3934 Mercado Pago – パストラバーサルの脆弱性
  • [警告(Medium)] CVE-2024-4482 The Plus Addons for Elementor – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-5260 Sina Extension for Elementor – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-5555 Element Pack Elementor Addons – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-5582 Schema & Structured Data for WP & AMP – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-5703 Email Subscribers by Icegram Express – 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2024-6130 Form Maker by 10Web – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-6210 Duplicator – 情報漏えいの脆弱性
  • [警告(Medium)] CVE-2024-6334 Easy Table of Contents – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-6455 ElementsKit Elementor addons – 機密情報漏えいの脆弱性
  • [警告(Medium)] CVE-2024-6491 Getwid – 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2024-6495 Premium Addons for Elementor – クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2024-6589 LearnPress – ローカルファイルインクルードの脆弱性
  • [警告(Medium)] CVE-2024-6621 RSS Aggregator – 不適切なアクセス制御による脆弱性
  • [警告(Medium)] Amelia – バックドアの脆弱性
  • [警告(Medium)] Pixel Manager for WooCommerce – バックドアの脆弱性
  • [注意(Low)] CVE-2024-37483 The Post Grid – 不適切なアクセス制御による脆弱性
  • [注意(Low)] CVE-2024-37489 Ocean Extra – クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2024-37947 Tutor LMS – クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2024-39627 NextGEN Gallery – クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2024-4627 Rank Math SEO – クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2024-4655 Ultimate Blocks – クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2024-4780 Image Hover Effects – Elementor Addon – クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2024-5977 GiveWP – 不適切なアクセス制御による脆弱性
  • [注意(Low)] CVE-2024-6169 Unlimited Elements For Elementor – クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2024-6256 Feeds for YouTube – クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2024-6289 WPS Hide Login – 非表示のログインページアクセスの脆弱性
  • [注意(Low)] CVE-2024-6694 WP Mail SMTP by WPForms – 機密情報漏えいの脆弱性

国内最大級の品揃え【DMMブックス】ロリポップ!
どんなソフトを使ったら良いか分からないアナタに!ソフトナビ

WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。

情報元
https://news.mynavi.jp/techplus/article/20240805-2995801/