脆弱性情報 公開日: 最終更新日:
【2023年最新・随時更新】WordPress脆弱性情報まとめ(プラグイン・コア・テーマ)
このページには、2023年に確認された、WordPressに関する脆弱性情報・セキュリティ情報を随時まとめています。プラグイン・テーマの脆弱性情報は、CVSS 3.1 スコアが中程度より高いもので、日本国内での使用状況を鑑みて抽出しています。
Contents
2023年: WordPress脆弱性情報まとめ
WP_Labでは、WordPessサイトを誰でも安全に運用できるよう、WordPressコアやプラグインはできるだけ最新のバージョンを使うことをお勧めしており、その為の注意喚起とすべく、脆弱性情報を発信しています。
このページには、2023年に確認されたWordPressに関する脆弱性情報・セキュリティ情報をまとめています。プラグイン・テーマの脆弱性情報は、CVSS 3.1 スコアが中程度より高いもので、日本国内での使用状況を鑑みて抽出しています。
情報ソースは、NVD・MITRE(CVE)・patchstack・Wordfenceなどです。
日本国内の使用状況については、WP Labによる調査に基づきます。
リリース日等の日付情報は、時差の為に日本時間と異なる場合があります。
リンクとなっている個別の投稿については、発信当時に収集した最新情報で、PoCや脆弱性が発生する細かい条件等が出る前のものが多数あります。速報として発信しており、コード解析や脆弱性を悪用される特定の条件等が明確になっていないものも多数あることをご承知おきください。
WordPressコア
2023年5月
2023/5/16(北米時間)WorcPressコアの新バージョンリリース
4.1ブランチから6.2ブランチでの対応、セキュリティフィックスを含む
詳細はこちらをご確認ください。
2023/5/20(北米時間)WorcPressコアの新バージョンリリース
5.9ブランチから6.2ブランチでの対応、セキュリティフィックスを含む
詳細はこちらをご確認ください。
WordPressプラグイン
月別の表内のプラグイン名称をクリックすると、当該プラグインの脆弱性に関して詳細を説明するページのリンクが開きます。
2023年9月
| プラグイン名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| All-in-One WP Migrationプラグインのエクステンション各種 | CVE-2023–40004 | 高 | 認証制御機能の脆弱性 詳細はこちら | ||
| WPvivid Backup | 0.9.90以前 | 0.9.91 | CVE-2023-41243 | 高 | リモートコードの実行他 複数の脆弱性確認 |
| Simple Membership | 4.3.5以前 4.3.4以前 | 4.3.6 | CVE-2023-4719他 | 高 | XSS、権限昇格ほか |
| Crayon Syntax Highlighter | 2.8.4以前 | – | CVE-2023-4893 | 中 | SSRF |
| Newsletter | 7.8.9以前 | 7.9.0 | CVE-2023-4772 | 高 | 格納型XSS |
| ProfilePress(旧WP User Avatar) | 4.13.1以前 | 4.13.2 | CVE-2023-41954 | 高 | 権限昇格 |
| Media Library Assistant | 3.09以前 | 3.10 | CVE-2023-4634 | クリティカル | ローカルファイルインクルージョン/リモートコードの実行 |
| Welcart e-Commerce | 2.8.21以前 | 2.8.22 | 高 | SQLインジェクション | |
| File Manager Pro – Filester | 1.7.6以前 | 1.8 | CVE-2023-4827 | 高 | CSRF |
| Essential Addons for Elementor | 5.8.8以前 | 5.8.9 | CVE-2023-41955 | 高 | 権限昇格 |
| User Activity Log Pro | 2.3.3以前 | 2.3.4 | CVE-2023-5167 | 高 | XSS |
2023年8月
| プラグイン名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| User Activity Log | 1.6.4以前 | 1.6.5 | CVE-2023–3435 | 高 | SQLインジェクション |
| WP Ultimate CSV Importer | 7.9.8以前 | 7.9.9 | CVE-2023-4141他 | 高 | リモートコードの実行他 複数の脆弱性確認 |
| JupiterX Core | 3.3.8以前 | 3.3.8 | CVE-2023-38389他 | クリティカル | 権限昇格 同月に別の脆弱性も確認 |
| JupiterX Core Premium | 3.3.5以前 | 3.3.5 | CVE-2023-38388 | クリティカル | 認証のない攻撃者によるファイルアップロード |
| Master Addons for Elementor | 2.0.3以前 | – | CVE-2023-40679 | 高 | 認証機能の脆弱性 |
| tagDiv Composer Plugin | 4.1以前 | 4.2 | CVE-2023-3169 | 高 | 格納型XSS |
2023年7月
| プラグイン名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| ProfilePress | 4.10.3以前 | 4.11.0 | – | 中 | XSS |
| Ultimate Member | 2.6.6以前 | 2.6.7 | CVE-2023-3460 | クリティカル | 権限昇格 |
| LeanPress | 4.2.3以前 | 4.2.3 | CVE-2023-36516, CVE-2023-36515 | 高 | アクセス制御の脆弱性 |
| WP-Optimize | 3.2.12以前 | 3.2.13 | CVE-2023-1119 | 中 | XSS |
| Freemius WordPress SDK ライブラリ | 2.5.9以前 | CVE-2023-33999 | 中 | XSS ※このライブラリを用いた多数のWordPressプラグインが影響を受ける | |
| User Registration | 3.0.2以前 | 3.0.2.1 | CVE-2023-3342 | クリティカル | ファイルアップロード |
| User Activity Log | 1.6.4以前 | 1.6.5 | 複数 | 高 | 複数のSQLインジェクション (ver1.6.2以前、ver1.6.4以前) |
2023年6月
| プラグイン名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| JetPack | 12.1以前 | 12.1.1 | CVE-2023-2966 | 中 | 外部からの不正なファイル操作 |
| WordPress Social Login | 3.0.4以前 | – | CVE-2023-34023 | 高 | XSS |
| Download Monitor | 4.8.3以前 | 4.8.4 | CVE-2023-34007 | 高 | 任意のファイルアップロード |
| WooCommerce Stripe Payment Gateway | 7.4.0以前 | 7.4.1 | CVE-2023-34000 | 高 | アクセス制御の脆弱性 |
| Metform Elementor Contact Form Builder | 3.3.0以前 | 3.3.2 | 複数 | 中 高 | 複数の脆弱性 |
| Unlimited Elements For Elementor | 1.5.66以前 | 1.5.67 | CVE-2023-3295 | 高 | 任意のファイルアップロード |
| tagDiv Cloud Library | 2.7未満 | 2.7 | CVE-2023-1597 | クリティカル | 権限昇格 |
| Ninja Forms Contact Form | 3.6.24以前 | 3.6.24 | CVE-2023-36505 | 中 | ファイル削除 |
| WPBakery Page Builder for WordPress | 6.12.0 | 6.13.0 | CVE-2023-31213 | 中 | XSS |
2023年5月
| プラグイン名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| Ninja Forms Contact Form | 3.6.21以前 | 3.6.22 | CVE-2023-1835 | 高 | XSS |
| tagDiv Composer | 4.0未満 | 4.0 | CVE-2023-1596 | 高 | XSS |
| Advanced Custom Fields ・Advanced Custom Fields Pro | 6.1.6以前 | 6.1.6 | CVE-2023-30777 | 高 | XSS |
| Snow Monkey Forms | 5.0.6以前 | 5.0.7 | CVE-2023-28413 | 中 | ディレクトリトラバーザル |
| Metform Elementor Contact Form Builder | 3.3.0以前 | 3.3.0 | CVE-2023-1843 | 中 | アクセス制御の脆弱性 |
| Essential Addons for Elementor | 5.7.1以前 | 5.7.2 | CVE-2023-32243 | クリティカル | 権限昇格・PWリセット |
| WordPress Ultimate Addons for Contact Form 7 | 3.1.23以前 | 3.1.24 | CVE-2022-47586、 (CVE-2023-30495) | クリティカル | SQLインジェクション他 |
| Elementor | 3.13.1以前 | 3.13.2 | – | 中 | アクセス制御の脆弱性 |
| MW WP Form | 4.4.2以前 | 4.4.3 | – | 中 | ディレクトリトラバーザル |
| UpdraftPlus | 1.22.14 – 1.23.2 | 1.23.3 | CVE-2023-32960 | 高 | 権限昇格 |
| UpdraftPlus(Premium) | 2.22.14 – 2.23.2 | 2.23.3 | CVE-2023-32960 | 高 | 権限昇格 |
| Unlimited Elements For Elementor | 1.5.60以前 | 1.5.61 | CVE-2023-31090 | クリティカル | 任意のファイルアップロード |
| Duplicator Pro | 4.5.11以前 | 4.5.11.1 | CVE-2023-33309 | 中 | 反射型XSS |
| Elementor | 3.13.2以前 | 3.13.3 | CVE-2023-33922 | 中 | アクセス制御の脆弱性 |
2023年4月
| プラグイン名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| Advanced Custom Fields | 5.12.4以前 | 5.12.5 | CVE-2023-1196 | 高 | PHPオブジェクトインジェクション |
| Appointment and Event Booking Calendar for WordPress – Amelia | 1.0.75以前 | 1.0.76 | CVE-2023-29427 | 高 | XSS |
| Quiz and Survey Master | 8.1.4以前 | 8.1.5 | CVE-2023-28787 | クリティカル | SQLインジェクション |
| Jetpack CRM | 5.3.1以前 | 5.4.0 | CVE-2022-3342 | 高 | CSRF |
| Elementor | 3.12.1以前 | 3.12.2 | CVE-2023-0329 | 中 | SQLインジェクション |
2023年3月
| プラグイン名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| Yoast SEO | 20.2以前 | 20.2.1 | XSS | 中 | XSS他 |
| WordPress Plugin for Google Maps – WP MAPS | 4.4.2以前 | 4.4.3 | CVE-2023-28172 | 高 | CSRF |
| UpdraftPlus | 1.22.24以前 | 1.23.1 | – | 中 | CSRF |
| UpdraftPlus | 1.22.14-1.23.2 | 1.23.3 | – | 高 | 権限昇格 |
| UpdraftPlus(Premium) | 2.22.14-2.23.2 | 2.23.3 | – | 高 | 権限昇格 |
| MetaSlider | 3.29.0以前 | 3.29.1 | CVE-2323-1473 | 中 | XSS |
| Elementor Pro | 3.11.6以前 | 3.11.7 | – | 高 | 権限昇格 |
| Newsletter | 7.6.8以前 | 7.6.9 | – | 中 | XSS |
2023年2月
| プラグイン名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| Shortcodes Ultimate | 5.12.6以前 | 5.12.7 | 複数あり | 中~高 | XSS他 |
| WP Statistics | 13.2.10以前 | 13.2.11 | CVE-2022-38074 | 高 | SQLインジェクション |
| Plugin for Google Reviews | 2.2.3以前 | 2.2.4 | CVE-2022-44580 | 高 | SQLインジェクション |
| ImageMagick Engine | 1.7.5以前 | 1.7.6 | CVE-2022-3568 | 高 | CSRF |
| Japanized For WooCommerce | 2.5.4以前 | 2.5.5 | CVE-2023-0942 | 中 | XSS |
| VK All in One Expansion Unit | 9.87.0.1以前 | 9.87.1.0 | 中 | XSS | |
| ProfilePress | 4.5.4以前 | 4.5.5 | 複数あり | 高 | XSS |
| All in One SEO | 4.2.9以前 | 4.3.0 | 複数あり | 中 | XSS |
2023年1月
| プラグイン名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| MonsterInsights | 8.12.0以前 | 8.12.1 | CVE-2023-0081 | 中 | XSS |
| Twitter Cards Meta | 2.9.1以前 | 未リリース | 中 | XSS | |
| WordPress Crayon Syntax Highlighter | 2.8.4以前 | 8.12.1 | CVE-2023-0081 | 中~高 | CSRF |
| Simple Sitemap | 3.5.7以前 | 3.5.8 | CVE-2022-4472 | 中 | XSS |
| widget-shortcode | 0.3.5以前 | 未リリース | CVE-2022-4473 | 中 | XSS |
| Welcart e-Commerce | 2.8.10以前 | 2.8.11 | CVE-2023-22705 | 高 | XSS |
| ProfilePress | 4.4.1以前 | 4.5.4 | CVE-2022-47444 | 高 | XSS |
WordPressテーマ
月別の表内のテーマ名称をクリックすると、当該プラグインの脆弱性に関して詳細を説明するページのリンクが開きます。
2023年8月
2023年6月
| テーマ名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| Newspaper | 3.0.0以前 | 3.1.0 | クリティカル | tagDiv Cloud Libraryプラグイン脆弱性によるもの・権限昇格 |
2023年5月
| テーマ名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| JupiterX | 3.0.0以前 | 3.1.0 | CVE-2023-32110 | 高 | ローカルファイルインクルージョン |
人気記事
