Sucuriは8月30日(米国時間)、「WordPress Vulnerabilities & Patch Roundup — August 2022|Sucuri Blog」において、2022年8月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握し、対処してもらえるよう1カ月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。
今月は18個の脆弱性とその緩和策が紹介されている。セキュリティリスクが「重要(High)」が1つ、「警告(Medium)」が10、「注意(small)」が7つとなっている。8月のセキュリティリスクに「緊急(Critical)」は報告されていないが、脆弱性の数は先月に比べて約1.4倍の増加となっている。
注意が必要なのは、セキュリティリスクが「重要(High)」のAdvanced Custom Fieldsプラグインの脆弱性。この脆弱性により、フロントエンドフォームが利用可能な場合、認証されていないユーザによってWordPressのデフォルト設定で許可された任意のファイルがアップロードされてしまうリスクがある。
今月の主な脆弱性およびその緩和策は次のとおり。
項目 | 脆弱性 | 緩和策 |
---|---|---|
All-in-One WP Migration | 未認証のReflected Cross-Site Scripting (XSS) | All-in-One WP Migrationプラグインのバージョンを7.6.3以降に更新 |
Advanced Custom Fields | 未認証のファイルアップロード | Advanced Custom Fieldsプラグインのバージョンを5.12.3以降に更新 |
Autoptimize Plugin | 認証済みのStored Cross-Site Scripting脆弱性 | Autoptimize Pluginプラグインのバージョンを3.1.1以降に更新 |
Better Search Replace | 認証済みのSQL Injection (SQLi) | Better Search Replaceプラグインのバージョンを1.4.1以降に更新 |
Broken Link Checker | 認証済みPHAR Deserialization | Broken Link Checkerプラグインのバージョンを1.11.17以降に更新 |
Photo Gallery | Reflected Cross-Site Scripting (XSS) | Photo Galleryプラグインのバージョンを1.7.1以降に更新 |
WooCommerce PDF Invoices & Packing Slips | Reflected Cross-Site Scripting | WooCommerce PDF Invoices & Packing Slipsプラグインのバージョンを3.0.1以降に更新 |
WPvivid Backup & MIgration | 認証済みPHAR Deserialization | WPvivid Backup & Migrationプラグインのバージョンを0.9.75以降に更新 |
Anti-Malware Security and Brute-Force Firewall | Reflected Cross-Site Scripting | Anti-Malware Security and Brute-Force Firewallプラグインのバージョンを4.21.83以降に更新 |
Download Manager | 認証済みPHAR Deserialization | Download Managerプラグインのバージョンを3.2.50以降に更新 |
String Locator | 認証済みPHAR Deserialization脆弱性 | String Locatorプラグインのバージョンを2.60以降に更新 |
WP Hide & Security Enhancer | Reflected Cross-Site Scripting | WP Hide & Security Enhancerプラグインのバージョンを1.8以降に更新 |
Social Slider Feed | Reflected Stored Cross-Site Scripting | Social Slider Feedプラグインのバージョンを2.0.5以降に更新 |
Ajax Load More | PHAR Deserialization via Cross-Site Request Forgery (CSRF) | Ajax Load Moreプラグインのバージョンを5.5.4以降に更新 |
WP-UserOnline | 認証済みStored Cross-Site Scripting | WP-UserOnlineプラグインのバージョンを2.88.1以降に更新 |
Leaflet Maps Marker | 認証済みのSQL Injection | Leaflet Maps Markerプラグインのバージョンを3.12.5以降に更新 |
Affiliates Manager | Reflected Cross-Site Scripting | Affiliates Managerプラグインのバージョンを2.9.14以降に更新 |
WP Sticky Button | Cross-Site Scripting (XSS) | WP Sticky Buttonプラグインのバージョンを1.4.1以降に更新 |
WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。