Sucuriは12月28日(米国時間)、「WordPress Vulnerability & Patch Roundup December 2023」において、2023年12月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。Sucuriは、Webサイト所有者に対して新たな脅威を把握して対処してもらえるよう、1カ月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。

  • WordPress Vulnerability & Patch Roundup December 2023

    WordPress Vulnerability & Patch Roundup December 2023

12月に確認されたWordPressプラグインの脆弱性

今月は23個の脆弱性とその緩和策が紹介されている。セキュリティリスクが「緊急(Critical)」が2、「重要(High)」が2、「警告(Medium)」が19となっている。

今月の主な脆弱性は次のとおり。

  • [緊急(Critical)] CVE-2023-5761 Burst Statistics - Privacy-Friendly Analytics for WordPress - SQLインジェクションセキュリティ脆弱性
  • [緊急(Critical)] CVE-2023-6553 Backup Migration - Code インジェクションセキュリティ脆弱性
  • [重要(High)] CVE-2023-48777 Elementor - 任意ファイルアップデートのセキュリティ脆弱性
  • [重要(High)] CVE-2023-6627 WP Go Maps - クロスサイトスクリプティングのセキュリティ脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-49746 SpeedyCache - サーバーサイドリクエストフォージェリ(SSRF: Server-Side Request Forgery)セキュリティ脆弱性
  • [警告(Medium)] CVE-2023-49764 Advanced Database Cleaner - インジェクションセキュリティ脆弱性
  • [警告(Medium)] CVE-2023-49823 Bold Page Builder ストアドクロスサイトスクリプティングのセキュリティ脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-49828 WooCommerce Payments - ストアドクロスサイトスクリプティングのセキュリティ脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-49833 Spectra WordPress Gutenberg Blocks - ストアドクロスサイトスクリプティングのセキュリティ脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-49849 Shortcoder - 認証ミスの脆弱性
  • [警告(Medium)] CVE-2023-50376 Simple Membership - クロスサイトスクリプティングのセキュリティ脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-50826 Menu Image Icons Made Easy - クロスサイトスクリプティングのセキュリティ脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-50837 Login Lockdown - インジェクションセキュリティ脆弱性
  • [警告(Medium)] CVE-2023-50860 Amelia - クロスサイトスクリプティングのセキュリティ脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-50874 Ajax Load More - クロスサイトスクリプティングのセキュリティ脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-6488 WP Shortcodes Plugin — Shortcodes Ultimate - クロスサイトスクリプティングのセキュリティ脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-6496 Manage Notification E-mails - 認証ミスの脆弱性
  • [警告(Medium)] CVE-2023-6558 Export and Import Users and Customers - 危険なタイプのファイルのアップロードによるセキュリティ脆弱性
  • [警告(Medium)] CVE-2023-6624 Import and Export Users and Customers - クロスサイトスクリプティングのセキュリティ脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-6782 AMP for WP - クロスサイトスクリプティングのセキュリティ脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-6924 Photo Gallery by 10Web - クロスサイトスクリプティングのセキュリティ脆弱性 (XSS)
  • [警告(Medium)] CVE-2023-6934 Limit Login Attempts Reloaded - クロスサイトスクリプティングのセキュリティ脆弱性 (XSS)
  • [警告(Medium)] EmbedPress - 認証ミスの脆弱性

WordPressは圧倒的なシェアを持つCMS (Content Management System)であり、その脆弱性はサイバー犯罪者に悪用されやすい。Webサイトを運営しているユーザーはSucuriのセキュリティ情報の内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。