脆弱性情報 公開日:
WordPress脆弱性情報:Freemius WordPress SDKライブラリ
1000を超えるWordPressテーマやプラグイン、数十を超えるテーマで使用されているライブラリ、Freemius WordPress SDKに脆弱性の存在が確認されました。このライブラリは、700万以上のサイトにインストールされているとのことです。
WordPressプラグインの脆弱性情報です。
Contents
1,000を超えるWordPressプラグインに利用されているライブラリFreemius WordPress SDKに脆弱性の報告
1000を超えるWordPressテーマやプラグイン、数十を超えるテーマで使用されているライブラリ、Freemius WordPress SDKに脆弱性の存在が確認されました。
patchstackの報告によれば、このライブラリは700万以上のサイトにインストールされているとのことです。
開示された脆弱性はCVSS 3.1スコア6.1(Wordfence)で中程度とされています。
開示された脆弱性の内容はXSSで、認証のない攻撃者によって実行が可能です。
影響を受けるバージョン
影響を受けるバージョンは、このライブラリでは2.5.9以前のバージョンです。
このライブラリを使うプラグイン・テーマにはそれぞれにバージョンがありますので、影響を受けるプラグイン・テーマのバージョンは異なります。
影響を受けるプラグイン(抜粋)
このライブラリを利用しているプラグインのうち、日本国内で利用者の多いプラグインは以下の通りです。
※全てのプラグインを網羅しているわけではありませんのでご注意ください。
| プラグイン名称 | 対象ver. | パッチ済ver. |
| WordPress Popup Maker | 1.9.2以前 | 1.10.0 |
| Salon booking system | 8.4.7以前 | 8.4.9 |
| WP Activity Log | 4.4.2.1以前 | 4.4.3 |
| Ultra Elementor Addons | 1.0.0以前 | – |
| WP Mail Log | 1.0.2以前 | 1.1.1 |
| Elementor Addon Elements | 1.11.16以前 | 1.12 |
| Unlimited Elements For Elementor | 1.5.75未満 | 1.5.75 |
| Elementor Stripe Payment | 1.2.2未満 | 1.2.2 |
| GA4WP: Google Analytics for WordPress | 2.2.0未満 | 2.2.0 |
| Shortcodes Ultimate | 5.13.1以前 | 5.13.2 |
| User Registration | 2.0 – 2.5.18 |
Wordfence によるこの脆弱性に関するプラグイン検索ページはこちらです。
CVE ID
CVE-2023-33999
ライブラリ開発元によるこの脆弱性情報に関するページはこちらです。
参考サイト:patchstack・脆弱性情報
人気記事
