Sucuriは7月29日(米国時間)、「WordPress Vulnerability & Patch Roundup July 2023」において、2023年7月に明らかになったWordPressのプラグインの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう、1カ月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。

  • WordPress Vulnerability & Patch Roundup July 2023

    WordPress Vulnerability & Patch Roundup July 2023

今月は36個の脆弱性とその緩和策が紹介されている。セキュリティリスクの内訳は「重要(High)」が7、「警告(Medium)」が21、「低(Low)」が8となっている。

今月の主な脆弱性は次のとおり。

  • [重要(High)] CVE-2023-32600 Rank Math SEO - クロスサイトスクリプティングの脆弱性 (XSS)
  • [重要(High)] CVE-2023-33999 CAPTCHA 4WP - クロスサイトスクリプティングの脆弱性 (XSS)
  • [重要(High)] CVE-2023-33999 Gutenberg Block Editor Toolkit - クロスサイトスクリプティングの脆弱性 (XSS)
  • [重要(High)] CVE-2023-33999 Ocean Extra - クロスサイトスクリプティングの脆弱性 (XSS)
  • [重要(High)] CVE-2023-3460 Ultimate Member - 特権昇格の脆弱性
  • [重要(High)] CVE-2023-37979 Ninja Forms - クロスサイトスクリプティングの脆弱性 (XSS)
  • [重要(High)] CVE-2023-37999 HT Mega – Absolute Addons for Elementor - 特権昇格の脆弱性
  • [警告(Medium)] CVE-2022-45813 Advanced AJAX Product Filters - 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2023-1119 WP-Optimize – Cache, Clean, Compress - Reflected クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-2433 YARPP – Yet Another Related Posts Plugin - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-3082 POST SMTP Mailer - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-3342 User Registration - 任意ファイルアップデートの脆弱性
  • [警告(Medium)] CVE-2023-33999 404 to 301 - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-33999 AnyWhere Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-33999 Blocksy Companion - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-33999 Easy Watermark - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-33999 Elementor Addon Elements - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-33999 Event Tickets - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-33999 Premmerce Permalink Manager for WooCommerce - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-33999 Prime Slider – Addons For Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-33999 Shortcodes Ultimate - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-33999 Simple Sitemap - クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-34010 Media Library Assistant - Reflected クロスサイトスクリプティングの脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-3459 Import Export WordPress Users - 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2023-35777 The Events Calendar - 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2023-36516 LearnPress – WordPress LMS Plugin - 不適切なアクセス制御による脆弱性
  • [警告(Medium)] CVE-2023-3779 Essential Addons for Elementor - 機密情報漏えいの脆弱性
  • [警告(Medium)] CVE-2023-38392 Custom Field Template - クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2023-24410 Contact Form Plugin by Fluent Forms - SQL インジェクション脆弱性
  • [注意(Low)] CVE-2023-25042 oAuth Twitter Feed for Developers - クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2023-28415 Side Cart Woocommerce (Ajax) - クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2023-3248 All-in-one Floating Contact Form - クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2023-36382 Media Library Categories - クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2023-36678 WP Content Copy Protection - クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] CVE-2023-37874 HTTP Headers - クロスサイトスクリプティングの脆弱性 (XSS)
  • [注意(Low)] All-In-One Security (AIOS) – Security and Firewall - 機密情報漏えいの脆弱性

WordPressの脆弱性はサイバー犯罪者に悪用されやすい。Webサイトの管理者は、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。