• !

  公開日:

【2024年最新・随時更新】WordPress脆弱性情報まとめ(プラグイン・コア・テーマ)

2024年に確認されたWordPressに関する脆弱性情報・セキュリティ情報をまとめています。

2024年: WordPress脆弱性情報まとめ

WP Labでは、WordPessサイトを誰でも安全に運用できるよう、WordPressコアやプラグインはできるだけ最新のバージョンを使うことをお勧めしており、その為の注意喚起とすべく、脆弱性情報を発信しています。

このページには、2024年に確認されたWordPressに関する脆弱性情報・セキュリティ情報をまとめています。プラグイン・テーマの脆弱性情報は、CVSS 3.1 スコアが中程度より高いもので、日本国内での使用状況を鑑みて抽出しています。

情報ソースは、NVD・MITRE(CVE)・patchstack・Wordfenceなどです。
日本国内の使用状況については、WP Labによる調査に基づきます。
リリース日等の日付情報は、時差の為に日本時間と異なる場合があります。

リンクとなっている個別の投稿については、発信当時に収集した最新情報で、PoCや脆弱性が発生する細かい条件等が出る前のものが多数あります。速報として発信しており、コード解析や脆弱性を悪用される特定の条件等が明確になっていないものも多数あることをご承知おきください。

WordPressコア

2024年1月

2024/1/30(北米時間)WorcPressコアの新バージョンリリース

4.1ブランチから6.4ブランチでの対応、セキュリティフィックス2件を含む。詳細はこちらをご確認ください。

WordPressプラグイン

月別の表内のプラグイン名称をクリックすると、当該プラグインの脆弱性に関して詳細を説明するページのリンクが開きます。

2024年1月

プラグイン名称対象ver. パッチ済ver.CVE-IDリスクメモ
LeanPress4.2.5.7以前4.2.5.8CVE-2023-6634
CVE-2023-6567
CVE-2023-7002


重大
コマンドインジェクション
SQLインジェクション
情報漏洩に繋がる直接のオブジェクト参照
WP Mail Log4.9.4以前4.9.5CVE-2023-51410高い任意のファイルアップロード
Download Monitor2.9.6以前2.9.7SQLインジェクション
POST SMTP Mailer/Email Log2.8.7以前2.8.8CVE-2023-6875
CVE-2023-7027
重大
タイプジャグリングの問題による認証バイパス脆弱性
格納型XSS
Unlimited Addons for WPBakery Page Builder1.0.42以前CVE-2023-6925任意のファイルアップロード
Essential Addons for Elementor5.9.4以前5.9.5
CVE-2024-0586格納型XSS
Advanced Custom Fields6.2.4以前6.2.5CVE-2023-6701格納型XSS
Happy Addons for Elementor3.10.0以前3.10.1格納型XSS
File Manager Pro8.3.4以前8.3.5CVE-2023-6846任意のファイルアップロード
Stripe Payment Plugin for WooCommerce3.7.9以前3.8.0CVE-2024-0705重大SQLインジェクション
AMP for WP1.0.92.1以前1.0.93CVE-2024-0587XSS
Better Search Replace1.4.4以前1.4.5CVE-2023-6933重大PHPオブジェクトインジェクション
File Manager7.2.1以前7.2.2CVE-2024-0761機密情報の漏洩
WPvivid0.9.94以前0.9.95CVE-2023-4637アクセス制御の不具合
WPForms Pro1.8.5.3以前1.8.5.4CVE-2023-7063XSS