脆弱性情報 公開日:
【2023年最新・随時更新】WordPress脆弱性情報まとめ(プラグイン・コア・テーマ)
このページには、2023年に確認された、WordPressに関する脆弱性情報・セキュリティ情報を随時まとめています。プラグイン・テーマの脆弱性情報は、CVSS 3.1 スコアが中程度より高いもので、日本国内での使用状況を鑑みて抽出しています。
2023年: WordPress脆弱性情報まとめ
WP_Labでは、WordPessサイトを誰でも安全に運用できるよう、WordPressコアやプラグインはできるだけ最新のバージョンを使うことをお勧めしており、その為の注意喚起とすべく、脆弱性情報を発信しています。
このページには、2023年に確認されたWordPressに関する脆弱性情報・セキュリティ情報をまとめています。プラグイン・テーマの脆弱性情報は、CVSS 3.1 スコアが中程度より高いもので、日本国内での使用状況を鑑みて抽出しています。
情報ソースは、NVD・MITRE(CVE)・patchstack・Wordfenceなどです。
日本国内の使用状況については、WP Labによる調査に基づきます。
リリース日等の日付情報は、時差の為に日本時間と異なる場合があります。
リンクとなっている個別の投稿については、発信当時に収集した最新情報で、PoCや脆弱性が発生する細かい条件等が出る前のものが多数あります。速報として発信しており、コード解析や脆弱性を悪用される特定の条件等が明確になっていないものも多数あることをご承知おきください。
WordPressコア
2022年12月にコア6.1.1以前のバージョンにSSRFの脆弱性が確認されています。
CVE IDはCVE-2022-3590、CVSSスコアは4.0と中程度のものです。
2023年3月6日現在、この脆弱性のパッチバージョンはリリースされていません。
WordPressプラグイン
月別の表内のプラグイン名称をクリックすると、当該プラグインの脆弱性に関して詳細を説明するページのリンクが開きます。
2023年1月
| プラグイン名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| MonsterInsights | 8.12.0以前 | 8.12.1 | CVE-2023-0081 | 中 | XSS |
| Twitter Cards Meta | 2.9.1以前 | 未リリース | 中 | XSS | |
| WordPress Crayon Syntax Highlighter | 2.8.4以前 | 8.12.1 | CVE-2023-0081 | 中~高 | CSRF |
| Simple Sitemap | 3.5.7以前 | 3.5.8 | CVE-2022-4472 | 中 | XSS |
| widget-shortcode | 0.3.5以前 | 未リリース | CVE-2022-4473 | 中 | XSS |
| Welcart e-Commerce | 2.8.10以前 | 2.8.11 | CVE-2023-22705 | 高 | XSS |
| ProfilePress | 4.4.1以前 | 4.5.4 | CVE-2022-47444 | 高 | XSS |
2023年2月
| プラグイン名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| Shortcodes Ultimate | 5.12.6以前 | 5.12.7 | 複数あり | 中~高 | XSS他 |
| WP Statistics | 13.2.10以前 | 13.2.11 | CVE-2022-38074 | 高 | SQLインジェクション |
| Plugin for Google Reviews | 2.2.3以前 | 2.2.4 | CVE-2022-44580 | 高 | SQLインジェクション |
| ImageMagick Engine | 1.7.5以前 | 1.7.6 | CVE-2022-3568 | 高 | CSRF |
| Japanized For WooCommerce | 2.5.4以前 | 2.5.5 | CVE-2023-0942 | 中 | XSS |
| VK All in One Expansion Unit | 9.87.0.1以前 | 9.87.1.0 | 中 | XSS | |
| ProfilePress | 4.5.4以前 | 4.5.5 | 複数あり | 高 | XSS |
| All in One SEO | 4.2.9以前 | 4.3.0 | 複数あり | 中 | XSS |
人気記事
