Sucuriは8月30日(米国時間)、「WordPress Vulnerabilities & Patch Roundup — August 2022|Sucuri Blog」において、2022年8月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握し、対処してもらえるよう1カ月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。

  • WordPress Vulnerabilities & Patch Roundup — August 2022|Sucuri Blog

    WordPress Vulnerabilities & Patch Roundup — August 2022|Sucuri Blog

今月は18個の脆弱性とその緩和策が紹介されている。セキュリティリスクが「重要(High)」が1つ、「警告(Medium)」が10、「注意(small)」が7つとなっている。8月のセキュリティリスクに「緊急(Critical)」は報告されていないが、脆弱性の数は先月に比べて約1.4倍の増加となっている。

注意が必要なのは、セキュリティリスクが「重要(High)」のAdvanced Custom Fieldsプラグインの脆弱性。この脆弱性により、フロントエンドフォームが利用可能な場合、認証されていないユーザによってWordPressのデフォルト設定で許可された任意のファイルがアップロードされてしまうリスクがある。

今月の主な脆弱性およびその緩和策は次のとおり。

項目 脆弱性 緩和策
All-in-One WP Migration 未認証のReflected Cross-Site Scripting (XSS) All-in-One WP Migrationプラグインのバージョンを7.6.3以降に更新
Advanced Custom Fields 未認証のファイルアップロード Advanced Custom Fieldsプラグインのバージョンを5.12.3以降に更新
Autoptimize Plugin 認証済みのStored Cross-Site Scripting脆弱性 Autoptimize Pluginプラグインのバージョンを3.1.1以降に更新
Better Search Replace 認証済みのSQL Injection (SQLi) Better Search Replaceプラグインのバージョンを1.4.1以降に更新
Broken Link Checker 認証済みPHAR Deserialization Broken Link Checkerプラグインのバージョンを1.11.17以降に更新
Photo Gallery Reflected Cross-Site Scripting (XSS) Photo Galleryプラグインのバージョンを1.7.1以降に更新
WooCommerce PDF Invoices & Packing Slips Reflected Cross-Site Scripting WooCommerce PDF Invoices & Packing Slipsプラグインのバージョンを3.0.1以降に更新
WPvivid Backup & MIgration 認証済みPHAR Deserialization WPvivid Backup & Migrationプラグインのバージョンを0.9.75以降に更新
Anti-Malware Security and Brute-Force Firewall Reflected Cross-Site Scripting Anti-Malware Security and Brute-Force Firewallプラグインのバージョンを4.21.83以降に更新
Download Manager 認証済みPHAR Deserialization Download Managerプラグインのバージョンを3.2.50以降に更新
String Locator 認証済みPHAR Deserialization脆弱性 String Locatorプラグインのバージョンを2.60以降に更新
WP Hide & Security Enhancer Reflected Cross-Site Scripting WP Hide & Security Enhancerプラグインのバージョンを1.8以降に更新
Social Slider Feed Reflected Stored Cross-Site Scripting Social Slider Feedプラグインのバージョンを2.0.5以降に更新
Ajax Load More PHAR Deserialization via Cross-Site Request Forgery (CSRF) Ajax Load Moreプラグインのバージョンを5.5.4以降に更新
WP-UserOnline 認証済みStored Cross-Site Scripting WP-UserOnlineプラグインのバージョンを2.88.1以降に更新
Leaflet Maps Marker 認証済みのSQL Injection Leaflet Maps Markerプラグインのバージョンを3.12.5以降に更新
Affiliates Manager Reflected Cross-Site Scripting Affiliates Managerプラグインのバージョンを2.9.14以降に更新
WP Sticky Button Cross-Site Scripting (XSS) WP Sticky Buttonプラグインのバージョンを1.4.1以降に更新

WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。