Sucuriは10月29日(米国時間)、「WordPress Vulnerability & Patch Roundup October 2022」において、2022年10月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握し、対処してもらえるよう1か月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。
今月は16個の脆弱性とその緩和策が紹介されている。セキュリティリスクが「重要(High)」が4つ、「警告(Medium)」が12個となっている。10月のセキュリティリスクに「緊急(Critical)」は報告されていない。なお、WordPressの新たなセキュリティ更新プログラムのリリースが報告されているため、注意が必要。
この最新のアップデートでは、wp-mail.php経由でStored型クロスサイトスクリプティング(XSS: Cross-Site Scripting)など多くのセキュリティ問題や脆弱性が修正されている。リスクを軽減するためにWordPressをできるだけ早く最新バージョンに更新することが望まれている。
今月の主な脆弱性およびその緩和策は次のとおり。
項目 | 脆弱性 | 緩和策 |
---|---|---|
WP Super Cache | キャッシュポイズニング | WP Super Cacheプラグインのバージョンを1.9以降に更新 |
Smart Slider 3 | PHP Object Injection | Smart Slider 3プラグインのバージョンを3.5.1.11以降に更新 |
Ocean Extra | PHP Object Injection | Ocean Extraプラグインのバージョンを2.0.5以降に更新 |
Easy WP SMTP | 認証済みのPHP Object Injection | Easy WP SMTPプラグインのバージョンを1.5.0以降に更新 |
Complianz GDPR/CCPA Cookie Consent | 認証済みのSQL Injection(SQLi) | Complianz GDPR/CCPA Cookie Consentプラグインのバージョンを6.3.4以降に更新 |
FluentForm Contact Form | CSV Injection | FluentForm Contact Formプラグインのバージョンを4.3.13以降に更新 |
Customizer Export/Import | 認証済みのPHP Object Injection | Customizer Export/Importプラグインのバージョンを0.9.5以降に更新 |
reSmush.it Image Optimizer | 認証済みのStored Cross-Site Scripting(XSS) | reSmush.it Image Optimizerプラグインのバージョンを0.4.6以降に更新 |
Kadence WooCommerce Email Designer | 認証済みのPHP Object Injection | Kadence WooCommerce Email Designerプラグインのバージョンを1.5.7以降に更新 |
AntiSpam by CleanTalk | 認証済みのSQL Injection(SQLi) | AntiSpam by CleanTalkプラグインのバージョンを5.185.1以降に更新 |
LearnPress | 未認証のPHP Object Injection | LearnPressプラグインのバージョンを4.1.7.2以降に更新 |
Envira Gallery Lite | Reflected Cross-Site Scripting(XSS) | Envira Gallery Liteプラグインのバージョンを1.8.4.7以降に更新 |
PublishPress Capabilities | 認証済みのPHP Object Injection | PublishPress Capabilitiesプラグインのバージョンを2.5.2以降に更新 |
Manage Notification E-mails | Cross-Site Request Forgery(CSRF) | Manage Notification E-mailsプラグインのバージョンを1.8.3以降に更新 |
Form Maker | 認証済みのSQL Injection(SQLi) | Form Makerプラグインのバージョンを1.15.6以降に更新 |
ImageMagick Engine | Cross-Site Request Forgery(CSRF)によるリモートコード実行 | ImageMagick Engineプラグインのバージョンを1.7.6以降に更新 |
WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。