Sucuriは7月29日(米国時間)、「WordPress Vulnerabilities & Patch Roundup — July 2022」において、2022年7月のWordPressの脆弱性およびセキュリティパッチの情報をまとめたと伝えた。
SucuriはWebサイト所有者に対して新たな脅威を把握し、対処してもらえるよう1カ月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。
今月は13の脆弱性とその緩和策が紹介されている。セキュリティリスクが「緊急(Critical)」の脆弱性が2つ、「重要(High)」が4つ、「警告(Medium)」が7つとなっている。特にYouzifyプラグインおよびUser Private Filesプラグインは、セキュリティリスクが「緊急(Critical)」のため、注意が必要。
Youzifyの脆弱性はAJAXアクションを経由してSQL文で使用する前に、不適切なサニタイズおよびエスケープされたパラメータが利用されるというもの。この脆弱性を突かれると、SQLインジェクション攻撃を受けてしまう。
User Private Filesの脆弱性に関しては、ユーザーがサーバにファイルをアップロードする際にプラグインによってファイル拡張子がフィルタリングされないため、悪意のあるコードがアップロードされる可能性がある。
今月の主な脆弱性およびその緩和策は次のとおり。
項目 | 脆弱性 | 緩和策 | |
---|---|---|---|
Youzify | 未認証のSQLi | Youzifyプラグインのバージョンを1.2.0以降に更新 | |
CAPTCHA 4WP | CSRFによるローカルファイルの取り込み | CAPTCHA 4WPプラグインのバージョンを7.1.0以降に更新 | |
OAuth Single Sign On | 壊れた認証 | OAuth Single Sign Onプラグインのバージョンを6.22.6以降に更新 | |
Visualizer:Tables and Charts Manager for WordPres | コントリビュータ+PHARデシリアライズ | Visualizerを更新する。Tables and Charts Manager for WordPressプラグインをバージョン3.7.10以降に更新 | |
Name Directory | Reflected Cross-Site Scripting | Name Directoryプラグインのバージョンを1.25.5 以降に更新 | |
Simple Membership | 認証されていないメンバーシップの特権昇格 | Simple Membershipプラグインのバージョンを4.1.3以降に更新 | |
User Private Files | スクライバ+任意のファイルアップロード | User Private Filesプラグインのバージョンを1.1.3以降に更新 | |
Advanced WordPress Reset | Reflected Cross-Site Scripting | Simple Membershipプラグインをバージョン1.6以降に更新 | |
YOP Poll | IP Spoofing | YOP Pollプラグインのバージョンを6.4.3以降に更新 | |
Header Footer Code Manager | Reflected Cross-Site Scripting | Header Footer Code Managerプラグインのバージョンを1.1.24以降に更新 | |
Unyson | Reflected Cross-Site Scripting | Unysonプラグインをバージョン2.7.27以降に更新 | |
WordPress Popular Posts | Reflected Cross-Site Scripting | WordPress Popular Postsプラグインのバージョンを6.0.0以降に更新 | |
WPDating | 複数のSQLインジェクションの問題 | 緩和策は未定。パッチが提供されるまでプラグインのアンインストールを推奨 |
WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。