脆弱性情報 公開日:
【2024年最新・随時更新】WordPress脆弱性情報まとめ(プラグイン・コア・テーマ)
2024年に確認されたWordPressに関する脆弱性情報・セキュリティ情報をまとめています。
2024年: WordPress脆弱性情報まとめ
WP Labでは、WordPessサイトを誰でも安全に運用できるよう、WordPressコアやプラグインはできるだけ最新のバージョンを使うことをお勧めしており、その為の注意喚起とすべく、脆弱性情報を発信しています。
このページには、2024年に確認されたWordPressに関する脆弱性情報・セキュリティ情報をまとめています。プラグイン・テーマの脆弱性情報は、CVSS 3.1 スコアが中程度より高いもので、日本国内での使用状況を鑑みて抽出しています。
情報ソースは、NVD・MITRE(CVE)・patchstack・Wordfenceなどです。
日本国内の使用状況については、WP Labによる調査に基づきます。
リリース日等の日付情報は、時差の為に日本時間と異なる場合があります。
リンクとなっている個別の投稿については、発信当時に収集した最新情報で、PoCや脆弱性が発生する細かい条件等が出る前のものが多数あります。速報として発信しており、コード解析や脆弱性を悪用される特定の条件等が明確になっていないものも多数あることをご承知おきください。
WordPressコア
2024年1月
2024/1/30(北米時間)WorcPressコアの新バージョンリリース
4.1ブランチから6.4ブランチでの対応、セキュリティフィックス2件を含む。詳細はこちらをご確認ください。
WordPressプラグイン
月別の表内のプラグイン名称をクリックすると、当該プラグインの脆弱性に関して詳細を説明するページのリンクが開きます。
2024年1月
プラグイン名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
LeanPress | 4.2.5.7以前 | 4.2.5.8 | CVE-2023-6634 CVE-2023-6567 CVE-2023-7002 | 高 中 重大 | コマンドインジェクション SQLインジェクション 情報漏洩に繋がる直接のオブジェクト参照 |
WP Mail Log | 4.9.4以前 | 4.9.5 | CVE-2023-51410 | 高い | 任意のファイルアップロード |
Download Monitor | 2.9.6以前 | 2.9.7 | 高 | SQLインジェクション | |
POST SMTP Mailer/Email Log | 2.8.7以前 | 2.8.8 | CVE-2023-6875 CVE-2023-7027 | 重大 高 | タイプジャグリングの問題による認証バイパス脆弱性 格納型XSS |
Unlimited Addons for WPBakery Page Builder | 1.0.42以前 | CVE-2023-6925 | 高 | 任意のファイルアップロード | |
Essential Addons for Elementor | 5.9.4以前 | 5.9.5 | CVE-2024-0586 | 中 | 格納型XSS |
Advanced Custom Fields | 6.2.4以前 | 6.2.5 | CVE-2023-6701 | 中 | 格納型XSS |
Happy Addons for Elementor | 3.10.0以前 | 3.10.1 | 中 | 格納型XSS | |
File Manager Pro | 8.3.4以前 | 8.3.5 | CVE-2023-6846 | 高 | 任意のファイルアップロード |
Stripe Payment Plugin for WooCommerce | 3.7.9以前 | 3.8.0 | CVE-2024-0705 | 重大 | SQLインジェクション |
AMP for WP | 1.0.92.1以前 | 1.0.93 | CVE-2024-0587 | 高 | XSS |
Better Search Replace | 1.4.4以前 | 1.4.5 | CVE-2023-6933 | 重大 | PHPオブジェクトインジェクション |
File Manager | 7.2.1以前 | 7.2.2 | CVE-2024-0761 | 高 | 機密情報の漏洩 |
WPvivid | 0.9.94以前 | 0.9.95 | CVE-2023-4637 | 中 | アクセス制御の不具合 |
WPForms Pro | 1.8.5.3以前 | 1.8.5.4 | CVE-2023-7063 | 高 | XSS |