• !

  公開日:   最終更新日:

【2023年最新】WordPress脆弱性情報まとめ(プラグイン・コア・テーマ)

このページには、2023年に確認された、WordPressに関する脆弱性情報・セキュリティ情報を随時まとめています。プラグイン・テーマの脆弱性情報は、CVSS 3.1 スコアが中程度より高いもので、日本国内での使用状況を鑑みて抽出しています。

2023年: WordPress脆弱性情報まとめ

2023年版WordPressコア・テーマ・プラグイン脆弱性情報まとめ

WP_Labでは、WordPessサイトを誰でも安全に運用できるよう、WordPressコアやプラグインはできるだけ最新のバージョンを使うことをお勧めしており、その為の注意喚起とすべく、脆弱性情報を発信しています。

このページには、2023年に確認されたWordPressに関する脆弱性情報・セキュリティ情報をまとめています。プラグイン・テーマの脆弱性情報は、CVSS 3.1 スコアが中程度より高いもので、日本国内での使用状況を鑑みて抽出しています。

情報ソースは、NVD・MITRE(CVE)・patchstack・Wordfenceなどです。
日本国内の使用状況については、WP Labによる調査に基づきます。
リリース日等の日付情報は、時差の為に日本時間と異なる場合があります。

リンクとなっている個別の投稿については、発信当時に収集した最新情報で、PoCや脆弱性が発生する細かい条件等が出る前のものが多数あります。速報として発信しており、コード解析や脆弱性を悪用される特定の条件等が明確になっていないものも多数あることをご承知おきください。

WordPressコア

2023年12月

2023/12/6(北米時間)WorcPressコア6.4系の新バージョン6.4.2リリース

6.4ブランチでの対応、セキュリティフィックスを含む

詳細はこちらをご確認ください。

2023年10月

2023/10/12(北米時間)WorcPressコアの新バージョンリリース

4.1ブランチから6.2ブランチでの対応、セキュリティフィックスを含む

詳細はこちらをご確認ください。

2023年5月

2023/5/16(北米時間)WorcPressコアの新バージョンリリース

4.1ブランチから6.2ブランチでの対応、セキュリティフィックスを含む

詳細はこちらをご確認ください。

2023/5/20(北米時間)WorcPressコアの新バージョンリリース

5.9ブランチから6.2ブランチでの対応、セキュリティフィックスを含む

詳細はこちらをご確認ください。

WordPressプラグイン

月別の表内のプラグイン名称をクリックすると、当該プラグインの脆弱性に関して詳細を説明するページのリンクが開きます。

2023年12月

プラグイン名称対象ver. パッチ済ver.CVE-IDリスクメモ
WP Mail Log1.1.2以前1.1.3CVE-2023-51410任意のファイルアップロード
MW WP Form5.0.3以前5.0.4CVE-2023-6559任意のファイル削除
Welcart e-Commerce2.9.6以前2.9.7CVE-2023-6120ディレクトリトラバーザル
Backup Migration1.0.8-1.3.91.4.0CVE-2023-6971リモートファイルの実行
Backup Migration1.3.9以前1.4.0CVE-2023-6972
CVE-2023-7002

任意のファイルを削除可能なパストラバーザル
OSコマンドインジェクション
Backup Migration1.3.5以前1.3.6
CVE-2023-6271重大リモートコードの実行
Elementor3.18.1以前3.18.2CVE-2023-48777任意のファイルアップロード

2023年11月

プラグイン名称対象ver. パッチ済ver.CVE-IDリスクメモ
Japanized For WooCommerce2.6.4以前2.6.5CVE-2023-47698アクセス制御
Elementor Website Builder3.16.4以前3.16.5CVE-2023-47504
CVE-2023-47505
XSS
アクセス制御
Welcart e-Commerce2.9.5以前2.9.6PHPオブジェクトインジェクション
WooCommerce8.1.1以前8.2.0CVE-2023-47777XSS
Jetpack12.7未満12.7CVE-2023-47788 CVE-2023-47774不適切な認証
クリックジャッキング
CF7 Google Sheets Connector5.0.5以前5.0.6CVE-2023-44989機密情報の漏洩
Responsive Lightbox & Gallery2.4.5以前2.4.6CVE-2023-49174格納型XSS
WP Child Theme Generator1.0.8以前CVE-2023-47873重大任意のファイルのアップロード
Salon booking system8.7未満8.7CVE-2023-48319権限昇格
BackWPup4.0.1以前4.0.2CVE-2023-5504ディレクトリトラバーザル
WP All Export
(Export any WordPress data to XML/CSV)
通常版1.4.1未満
プロ版1.8.6未満
通常版1.4.1
プロ版1.8.6
CVE-2023-5882
CVE-2023-5886
CSRF
WP Shortcodes Plugin — Shortcodes Ultimate5.13.3以前7.0.0CVE-2023-6225CVE-2023-6226格納型XSS
安全ではない直接のオブジェクト参照
Contact Form 75.8.3以前5.8.4CVE-2023-6449任意のファイルアップロード

2023年10月

プラグイン名称対象ver. パッチ済ver.CVE-IDリスクメモ
WordPress Popular Posts6.3.2以前6.3.3CVE-2023-45607格納型XSS
Royal Elementor Addons and Templates1.3.78以前1.3.79CVE-2023-5360クリティカル任意のファイルアップロード
WPvivid0.9.91以前0.9.92CVE-2023-5576機密情報漏洩
LiteSpeed Cache5.6以前5.7CVE-2023-4372格納型XSS
MW WP Form4.4.5以前5.0.0CVE-2023-4772認証機能の不具合
Ultimate Addons for WPBakery Page Builder3.19.14以前3.19.15CVE-2023-46211 CVE-2023-46205
格納型XSS/ローカルファイルインクルード
VK Filter Search2.3.1以前2.3.2CVE-2023-5705格納型XSS

2023年9月

プラグイン名称対象ver. パッチ済ver.CVE-IDリスクメモ
All-in-One WP Migrationプラグインのエクステンション各種CVE-2023–40004認証制御機能の脆弱性
詳細はこちら
WPvivid Backup0.9.90以前0.9.91CVE-2023-41243リモートコードの実行他
複数の脆弱性確認
Simple Membership4.3.5以前
4.3.4以前
4.3.6CVE-2023-4719他XSS、権限昇格ほか
Crayon Syntax Highlighter2.8.4以前CVE-2023-4893SSRF
Newsletter7.8.9以前7.9.0CVE-2023-4772格納型XSS
ProfilePress(旧WP User Avatar)4.13.1以前4.13.2CVE-2023-41954権限昇格
Media Library Assistant3.09以前3.10CVE-2023-4634クリティカルローカルファイルインクルージョン/リモートコードの実行
Welcart e-Commerce2.8.21以前2.8.22SQLインジェクション
File Manager Pro – Filester1.7.6以前1.8CVE-2023-4827CSRF
Essential Addons for Elementor5.8.8以前5.8.9CVE-2023-41955権限昇格
User Activity Log Pro2.3.3以前2.3.4CVE-2023-5167XSS

2023年8月

プラグイン名称対象ver. パッチ済ver.CVE-IDリスクメモ
User Activity Log1.6.4以前1.6.5CVE-2023–3435SQLインジェクション
WP Ultimate CSV Importer7.9.8以前7.9.9CVE-2023-4141他リモートコードの実行他
複数の脆弱性確認
JupiterX Core3.3.8以前3.3.8CVE-2023-38389他クリティカル権限昇格
同月に別の脆弱性も確認
JupiterX Core Premium3.3.5以前3.3.5CVE-2023-38388クリティカル認証のない攻撃者によるファイルアップロード
Master Addons for Elementor2.0.3以前CVE-2023-40679認証機能の脆弱性
tagDiv Composer Plugin4.1以前4.2CVE-2023-3169格納型XSS

2023年7月

プラグイン名称対象ver. パッチ済ver.CVE-IDリスクメモ
ProfilePress4.10.3以前4.11.0XSS
Ultimate Member2.6.6以前2.6.7CVE-2023-3460クリティカル権限昇格
LeanPress4.2.3以前4.2.3CVE-2023-36516,
CVE-2023-36515
アクセス制御の脆弱性
WP-Optimize3.2.12以前3.2.13CVE-2023-1119XSS
Freemius WordPress SDK ライブラリ2.5.9以前CVE-2023-33999XSS ※このライブラリを用いた多数のWordPressプラグインが影響を受ける
User Registration3.0.2以前3.0.2.1CVE-2023-3342クリティカルファイルアップロード
User Activity Log1.6.4以前1.6.5複数複数のSQLインジェクション
(ver1.6.2以前、ver1.6.4以前)

2023年6月

プラグイン名称対象ver. パッチ済ver.CVE-IDリスクメモ
JetPack12.1以前12.1.1CVE-2023-2966外部からの不正なファイル操作
WordPress Social Login3.0.4以前CVE-2023-34023XSS
Download Monitor4.8.3以前4.8.4CVE-2023-34007任意のファイルアップロード
WooCommerce Stripe Payment Gateway7.4.0以前7.4.1CVE-2023-34000アクセス制御の脆弱性
Metform Elementor Contact Form Builder3.3.0以前3.3.2複数
複数の脆弱性
Unlimited Elements For Elementor1.5.66以前1.5.67CVE-2023-3295任意のファイルアップロード
tagDiv Cloud Library2.7未満2.7CVE-2023-1597クリティカル権限昇格
Ninja Forms Contact Form3.6.24以前3.6.24CVE-2023-36505ファイル削除
WPBakery Page Builder for WordPress6.12.06.13.0CVE-2023-31213XSS

2023年5月

プラグイン名称対象ver. パッチ済ver.CVE-IDリスクメモ
Ninja Forms Contact Form3.6.21以前3.6.22CVE-2023-1835XSS
tagDiv Composer4.0未満4.0CVE-2023-1596XSS
Advanced Custom Fields ・Advanced Custom Fields Pro6.1.6以前6.1.6CVE-2023-30777XSS
Snow Monkey Forms5.0.6以前5.0.7CVE-2023-28413ディレクトリトラバーザル
Metform Elementor Contact Form Builder3.3.0以前3.3.0CVE-2023-1843アクセス制御の脆弱性
Essential Addons for Elementor5.7.1以前5.7.2CVE-2023-32243クリティカル権限昇格・PWリセット
WordPress Ultimate Addons for Contact Form 73.1.23以前3.1.24CVE-2022-47586、
(CVE-2023-30495)
クリティカルSQLインジェクション他
Elementor3.13.1以前3.13.2アクセス制御の脆弱性
MW WP Form4.4.2以前4.4.3ディレクトリトラバーザル
UpdraftPlus1.22.14 – 1.23.21.23.3CVE-2023-32960権限昇格
UpdraftPlus(Premium)2.22.14 – 2.23.22.23.3CVE-2023-32960権限昇格
Unlimited Elements For Elementor1.5.60以前1.5.61CVE-2023-31090クリティカル任意のファイルアップロード
Duplicator Pro4.5.11以前4.5.11.1CVE-2023-33309反射型XSS
Elementor3.13.2以前3.13.3CVE-2023-33922アクセス制御の脆弱性

2023年4月

プラグイン名称対象ver. パッチ済ver.CVE-IDリスクメモ
Advanced Custom Fields5.12.4以前5.12.5CVE-2023-1196PHPオブジェクトインジェクション
Appointment and Event Booking Calendar for WordPress – Amelia1.0.75以前1.0.76CVE-2023-29427XSS
Quiz and Survey Master8.1.4以前8.1.5CVE-2023-28787クリティカルSQLインジェクション
Jetpack CRM5.3.1以前5.4.0CVE-2022-3342CSRF
Elementor3.12.1以前3.12.2CVE-2023-0329SQLインジェクション

2023年3月

プラグイン名称対象ver. パッチ済ver.CVE-IDリスクメモ
Yoast SEO20.2以前20.2.1XSSXSS他
WordPress Plugin for Google Maps
– WP MAPS
4.4.2以前4.4.3CVE-2023-28172CSRF
UpdraftPlus1.22.24以前1.23.1CSRF
UpdraftPlus1.22.14-1.23.21.23.3権限昇格
UpdraftPlus(Premium)2.22.14-2.23.22.23.3権限昇格
MetaSlider3.29.0以前3.29.1 CVE-2323-1473XSS
Elementor Pro3.11.6以前3.11.7権限昇格
Newsletter7.6.8以前7.6.9XSS

2023年2月

プラグイン名称対象ver. パッチ済ver.CVE-IDリスクメモ
Shortcodes Ultimate5.12.6以前5.12.7複数あり中~高XSS他
WP Statistics13.2.10以前13.2.11CVE-2022-38074SQLインジェクション
Plugin for Google Reviews2.2.3以前2.2.4CVE-2022-44580SQLインジェクション
ImageMagick Engine1.7.5以前1.7.6CVE-2022-3568CSRF
Japanized For WooCommerce2.5.4以前2.5.5CVE-2023-0942XSS
VK All in One Expansion Unit9.87.0.1以前9.87.1.0XSS
ProfilePress4.5.4以前4.5.5複数ありXSS
All in One SEO4.2.9以前4.3.0複数ありXSS

2023年1月

プラグイン名称対象ver. パッチ済ver.CVE-IDリスクメモ
MonsterInsights 8.12.0以前8.12.1CVE-2023-0081XSS
Twitter Cards Meta2.9.1以前未リリースXSS
WordPress Crayon Syntax Highlighter2.8.4以前8.12.1CVE-2023-0081中~高CSRF
Simple Sitemap3.5.7以前3.5.8CVE-2022-4472XSS
widget-shortcode0.3.5以前未リリースCVE-2022-4473XSS
Welcart e-Commerce2.8.10以前2.8.11CVE-2023-22705XSS
ProfilePress4.4.1以前4.5.4CVE-2022-47444XSS

WordPressテーマ

月別の表内のテーマ名称をクリックすると、当該プラグインの脆弱性に関して詳細を説明するページのリンクが開きます。

2023年8月

テーマ名称対象ver. パッチ済ver.CVE-IDリスクメモ
Newspaper 12.412.5付随するプラグイン
JupiterX3.3.83.4.3付随するプラグイン
JupiterX Core

2023年6月

テーマ名称対象ver. パッチ済ver.CVE-IDリスクメモ
Newspaper 3.0.0以前3.1.0クリティカルtagDiv Cloud Libraryプラグイン脆弱性によるもの・権限昇格

2023年5月

テーマ名称対象ver. パッチ済ver.CVE-IDリスクメモ
JupiterX 3.0.0以前3.1.0CVE-2023-32110ローカルファイルインクルージョン