• !

  公開日:

【2023年最新・随時更新】WordPress脆弱性情報まとめ(プラグイン・コア・テーマ)

このページには、2023年に確認された、WordPressに関する脆弱性情報・セキュリティ情報を随時まとめています。プラグイン・テーマの脆弱性情報は、CVSS 3.1 スコアが中程度より高いもので、日本国内での使用状況を鑑みて抽出しています。

2023年: WordPress脆弱性情報まとめ

2023年版WordPressコア・テーマ・プラグイン脆弱性情報まとめ

WP_Labでは、WordPessサイトを誰でも安全に運用できるよう、WordPressコアやプラグインはできるだけ最新のバージョンを使うことをお勧めしており、その為の注意喚起とすべく、脆弱性情報を発信しています。

このページには、2023年に確認されたWordPressに関する脆弱性情報・セキュリティ情報をまとめています。プラグイン・テーマの脆弱性情報は、CVSS 3.1 スコアが中程度より高いもので、日本国内での使用状況を鑑みて抽出しています。

情報ソースは、NVD・MITRE(CVE)・patchstack・Wordfenceなどです。
日本国内の使用状況については、WP Labによる調査に基づきます。
リリース日等の日付情報は、時差の為に日本時間と異なる場合があります。

リンクとなっている個別の投稿については、発信当時に収集した最新情報で、PoCや脆弱性が発生する細かい条件等が出る前のものが多数あります。速報として発信しており、コード解析や脆弱性を悪用される特定の条件等が明確になっていないものも多数あることをご承知おきください。

WordPressコア

2022年12月にコア6.1.1以前のバージョンにSSRFの脆弱性が確認されています。

CVE IDはCVE-2022-3590、CVSSスコアは4.0と中程度のものです。

2023年3月6日現在、この脆弱性のパッチバージョンはリリースされていません。

WordPressプラグイン

月別の表内のプラグイン名称をクリックすると、当該プラグインの脆弱性に関して詳細を説明するページのリンクが開きます。

2023年1月

プラグイン名称対象ver. パッチ済ver.CVE-IDリスクメモ
MonsterInsights 8.12.0以前8.12.1CVE-2023-0081XSS
Twitter Cards Meta2.9.1以前未リリースXSS
WordPress Crayon Syntax Highlighter2.8.4以前8.12.1CVE-2023-0081中~高CSRF
Simple Sitemap3.5.7以前3.5.8CVE-2022-4472XSS
widget-shortcode0.3.5以前未リリースCVE-2022-4473XSS
Welcart e-Commerce2.8.10以前2.8.11CVE-2023-22705XSS
ProfilePress4.4.1以前4.5.4CVE-2022-47444XSS

2023年2月

プラグイン名称対象ver. パッチ済ver.CVE-IDリスクメモ
Shortcodes Ultimate5.12.6以前5.12.7複数あり中~高XSS他
WP Statistics13.2.10以前13.2.11CVE-2022-38074SQLインジェクション
Plugin for Google Reviews2.2.3以前2.2.4CVE-2022-44580SQLインジェクション
ImageMagick Engine1.7.5以前1.7.6CVE-2022-3568CSRF
Japanized For WooCommerce2.5.4以前2.5.5CVE-2023-0942XSS
VK All in One Expansion Unit9.87.0.1以前9.87.1.0XSS
ProfilePress4.5.4以前4.5.5複数ありXSS
All in One SEO4.2.9以前4.3.0複数ありXSS