Sucuriは2月29日(米国時間)、「WordPress Vulnerability & Patch Roundup February 2024」において、2024年2月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう、1カ月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。
今月は29件の脆弱性とその緩和策が紹介されている。セキュリティリスクの評価が「重要(High)」は6件、「警告(Medium)」は15件、「低(Low)」は8件となっている。
2月WordPressプラグインの主な脆弱性
今月の主な脆弱性は次のとおり。
- [重要(High)] CVE-2024-0506 Elementor Website Builder - クロスサイトスクリプティングの脆弱性 (XSS)
- [重要(High)] CVE-2024-24934 Elementor Website Builder – More than Just a Page Builder - パストラバーサルの脆弱性
- [重要(High)] CVE-2023-40000 LiteSpeed Cache - クロスサイトスクリプティングの脆弱性 (XSS)
- [重要(High)] CVE-2024-0842 Backuply – Backup, Restore, Migrate and Clone - サービス拒否(DoS: Denial of Service)の脆弱性
- [重要(High)] CVE-2024-1236 Essential Addons for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
- [重要(High)] CVE-2024-1358 Elementor Addon Elements - ディレクトリートラバーサルの脆弱性
- [警告(Medium)] CVE-2023-6526 Meta Box – WordPress Custom Fields Framework - クロスサイトスクリプティングの脆弱性 (XSS)
- [警告(Medium)] CVE-2024-0438 Happy Addons for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
- [警告(Medium)] CVE-2024-0442 Royal Elementor Addons and Templates - クロスサイトスクリプティングの脆弱性 (XSS)
- [警告(Medium)] CVE-2024-0895 PDF Flipbook, 3D Flipbook – DearFlip - クロスサイトスクリプティングの脆弱性 (XSS)
- [警告(Medium)] CVE-2024-0897 Beaver Builder – WordPress Page Builder - クロスサイトスクリプティングの脆弱性 (XSS)
- [警告(Medium)] CVE-2024-0903 User Feedback - クロスサイトスクリプティングの脆弱性 (XSS)
- [警告(Medium)] CVE-2024-1070 SiteOrigin Widgets Bundle - クロスサイトスクリプティングの脆弱性 (XSS)
- [警告(Medium)] CVE-2024-1242 Premium Addons for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
- [警告(Medium)] CVE-2024-1277 Ocean Extra - クロスサイトスクリプティングの脆弱性 (XSS)
- [警告(Medium)] CVE-2024-1392 Elementor Addon Elements - クロスサイトスクリプティングの脆弱性 (XSS)
- [警告(Medium)] CVE-2024-1409 Paid Membership Plugin ProfilePress - クロスサイトスクリプティングの脆弱性 (XSS)
- [警告(Medium)] CVE-2024-1411 PowerPack Addons for Elementor - クロスサイトスクリプティングの脆弱性 (XSS)
- [警告(Medium)] CVE-2024-1448 Social Sharing Plugin - Sassy Social Share - クロスサイトスクリプティングの脆弱性 (XSS)
- [警告(Medium)] CVE-2024-1510 WP Shortcodes Plugin — Shortcodes Ultimate - クロスサイトスクリプティングの脆弱性 (XSS)
- [警告(Medium)] CVE-2024-1590 Page Builder: Pagelayer – Drag and Drop website builder - クロスサイトスクリプティングの脆弱性 (XSS)
- [注意(Low)] CVE-2023-6565 InfiniteWP Client - 機密情報漏洩の脆弱性
- [注意(Low)] CVE-2024-0602 YARPP - Yet Another Related Posts Plugin - クロスサイトスクリプティングの脆弱性 (XSS)
- [注意(Low)] CVE-2024-0604 Best WordPress Gallery Plugin - FooGallery - クロスサイトスクリプティングの脆弱性 (XSS)
- [注意(Low)] CVE-2024-0656 Password Protected - クロスサイトスクリプティングの脆弱性 (XSS)
- [注意(Low)] CVE-2024-0658 Insert PHP Code Snippet - クロスサイトスクリプティングの脆弱性 (XSS)
- [注意(Low)] CVE-2024-1037 All-In-One Security (AIOS) – Security and Firewall - クロスサイトスクリプティングの脆弱性 (XSS)
- [注意(Low)] CVE-2024-1586 Schema - クロスサイトスクリプティングの脆弱性 (XSS)
- [注意(Low)] CVE-2024-25592 Broken Link Checker - クロスサイトスクリプティングの脆弱性 (XSS)
WordPressの脆弱性はサイバーセキュリティ犯罪者に悪用されやすい。Webサイトを運営しているユーザーは、Sucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。