Sucuriは7月29日(米国時間)、「WordPress Vulnerabilities & Patch Roundup — July 2022」において、2022年7月のWordPressの脆弱性およびセキュリティパッチの情報をまとめたと伝えた。

SucuriはWebサイト所有者に対して新たな脅威を把握し、対処してもらえるよう1カ月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。

  • WordPress Vulnerabilities & Patch Roundup — July 2022

    WordPress Vulnerabilities & Patch Roundup — July 2022

今月は13の脆弱性とその緩和策が紹介されている。セキュリティリスクが「緊急(Critical)」の脆弱性が2つ、「重要(High)」が4つ、「警告(Medium)」が7つとなっている。特にYouzifyプラグインおよびUser Private Filesプラグインは、セキュリティリスクが「緊急(Critical)」のため、注意が必要。

Youzifyの脆弱性はAJAXアクションを経由してSQL文で使用する前に、不適切なサニタイズおよびエスケープされたパラメータが利用されるというもの。この脆弱性を突かれると、SQLインジェクション攻撃を受けてしまう。

User Private Filesの脆弱性に関しては、ユーザーがサーバにファイルをアップロードする際にプラグインによってファイル拡張子がフィルタリングされないため、悪意のあるコードがアップロードされる可能性がある。

今月の主な脆弱性およびその緩和策は次のとおり。

項目 脆弱性 緩和策
Youzify 未認証のSQLi Youzifyプラグインのバージョンを1.2.0以降に更新
CAPTCHA 4WP CSRFによるローカルファイルの取り込み CAPTCHA 4WPプラグインのバージョンを7.1.0以降に更新
OAuth Single Sign On 壊れた認証 OAuth Single Sign Onプラグインのバージョンを6.22.6以降に更新
Visualizer:Tables and Charts Manager for WordPres コントリビュータ+PHARデシリアライズ Visualizerを更新する。Tables and Charts Manager for WordPressプラグインをバージョン3.7.10以降に更新
Name Directory Reflected Cross-Site Scripting Name Directoryプラグインのバージョンを1.25.5 以降に更新
Simple Membership 認証されていないメンバーシップの特権昇格 Simple Membershipプラグインのバージョンを4.1.3以降に更新
User Private Files スクライバ+任意のファイルアップロード User Private Filesプラグインのバージョンを1.1.3以降に更新
Advanced WordPress Reset Reflected Cross-Site Scripting Simple Membershipプラグインをバージョン1.6以降に更新
YOP Poll IP Spoofing YOP Pollプラグインのバージョンを6.4.3以降に更新
Header Footer Code Manager Reflected Cross-Site Scripting Header Footer Code Managerプラグインのバージョンを1.1.24以降に更新
Unyson Reflected Cross-Site Scripting Unysonプラグインをバージョン2.7.27以降に更新
WordPress Popular Posts Reflected Cross-Site Scripting WordPress Popular Postsプラグインのバージョンを6.0.0以降に更新
WPDating 複数のSQLインジェクションの問題 緩和策は未定。パッチが提供されるまでプラグインのアンインストールを推奨

WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。