致命的！2024年8月のプラグイン脆弱性情報まとめ

WordPressサイトの安全性を維持するためには、常にプラグインを最新の状態に保つことが不可欠！

どんなに機能が充実したWordPressサイトも日ごろのメンテナンスを行っては意味がありません。

脆弱性情報をチェックしてあなたのサイトのセキュリティをグングン高めていきましょう！

WordPressのプラグイン更新を怠るとどうなる？

WordPressのプラグインを定期的に更新しないと、サイトがさまざまなリスクにさらされます。まず、古いプラグインにはセキュリティ脆弱性が存在することがあり、これが悪意のある攻撃者に利用されると、サイトがハッキングされる可能性が高まります。

ハッキングされると、データの漏洩やサイトの改ざん、さらにはサイトの完全な乗っ取りなどの深刻な問題が発生する可能性があります。

危険度の高い脆弱性が発見されたプラグイン一覧（2024年8月末現在）

• 危険性：認証されていない任意のファイルの削除
• 脆弱性のあるバージョン：4.9.4まで
• 修正されたバージョン：4.9.5

WP User Frontend

• 危険性：認証済み (管理者以上) SQL インジェクション
• 脆弱性のあるバージョン：4.0.7まで
• 修正されたバージョン：4.0.8

Salon booking system

• 危険性：認証済み (管理者以上) SQL インジェクション
• 脆弱性のあるバージョン：10.7まで
• 修正されたバージョン：10.8

VikRentCar

• 危険性：認証済み (管理者以上) SQL インジェクション
• 脆弱性のあるバージョン：1.4.0まで
• 修正されたバージョン：1.4.1

Easy Digital Downloads

• 危険性：認証されていない SQL インジェクション
• 脆弱性のあるバージョン：3.2.12まで
• 修正されたバージョン：3.3.1

YayExtra – WooCommerce Extra Product Options

• 危険性：認証されていない任意のファイルのアップロード
• 脆弱性のあるバージョン：1.3.7まで
• 修正されたバージョン：1.3.8

Cost Calculator Builder

• 危険性：認証されていない時間ベースの SQL インジェクション
• 脆弱性のあるバージョン：3.2.15まで
• 修正されたバージョン：3.2.16

Viral Signup

• 危険性：認証されていない SQL インジェクション
• 脆弱性のあるバージョン：2.1まで
• 修正されたバージョン：未対応

Docket (WooCommerce Collections / Wishlist / Watchlist)

• 危険性：認証されていない SQL インジェクション
• 脆弱性のあるバージョン：1.7.0より前
• 修正されたバージョン：1.7.0

Woffice

• 危険性：認証されていない権限昇格
• 脆弱性のあるバージョン：5.4.10まで
• 修正されたバージョン：5.4.12

Appointment Booking Calendar Plugin and Online Scheduling Plugin

• 危険性：認証バイパスによるアカウント乗っ取り
• 脆弱性のあるバージョン：1.1.6 – 1.1.7
• 修正されたバージョン：1.1.8

BerqWP

• 危険性：認証されていない任意のファイルのアップロード
• 脆弱性のあるバージョン：1.7.6まで
• 修正されたバージョン：1.7.7

GeoDirectory

• 危険性：認証済み (サブスクライバー+) SQL インジェクション
• 脆弱性のあるバージョン：2.3.61まで
• 修正されたバージョン：2.3.62

Event Manager for WooCommerce

• 危険性：認証済み (Contributor+) ローカル ファイルのインクルード
• 脆弱性のあるバージョン：4.2.1まで
• 修正されたバージョン：4.2.2

Unite Gallery Lite

• 危険性：認証済み (Contributor+) SQL インジェクション
• 脆弱性のあるバージョン：1.7.62まで
• 修正されたバージョン：未対応

WooCommerce – Social Login

• 危険性：認証バイパスによるアカウント乗っ取り
• 脆弱性のあるバージョン：2.7.5まで
• 修正されたバージョン：2.7.6

Opti Marketing

• 危険性：認証されていない SQL インジェクション
• 脆弱性のあるバージョン：2.0.9まで
• 修正されたバージョン：未対応

 

TrueBooker

• 危険性：認証されていない SQL インジェクション
• 脆弱性のあるバージョン：1.0.2まで
• 修正されたバージョン：未対応

Bit Form Pro

• 危険性：認証されていない任意のファイルの削除
• 脆弱性のあるバージョン：2.6.4まで
• 修正されたバージョン：未対応

JobSearch

• 危険性：認証バイパスによるアカウント乗っ取り
• 脆弱性のあるバージョン：2.3.4まで
• 修正されたバージョン：未対応

Indeed Membership Pro

• 危険性：認証されていない権限昇格
• 脆弱性のあるバージョン：12.6まで
• 修正されたバージョン：未対応

Compute Links

• 危険性：認証されていないリモート ファイルのインクルード
• 脆弱性のあるバージョン：1.2.1まで
• 修正されたバージョン：未対応

JS Help Desk – The Ultimate Help Desk & Support Plugin

• 危険性：認証されていない PHP コード インジェクションによるリモート コード実行
• 脆弱性のあるバージョン：2.8.6まで
• 修正されたバージョン：2.8.7

Login As Users

• 危険性：認証バイパス
• 脆弱性のあるバージョン：1.4.2まで
• 修正されたバージョン：1.4.3

EmbedPress

• 危険性：認証されていないローカル ファイルのインクルード
• 脆弱性のあるバージョン：4.0.9まで
• 修正されたバージョン：4.0.10

InPost for WooCommerce

• 危険性：認証されていない任意のファイルの読み取りと削除に対する承認がありません
• 脆弱性のあるバージョン：1.4.0 および InPost PL
• 修正されたバージョン：未対応

GiveWP – Donation Plugin and Fundraising Platform

• 危険性：認証されていない PHP オブジェクト インジェクションによるリモート コード実行
• 脆弱性のあるバージョン：3.14.1まで
• 修正されたバージョン：3.14.2

Contact Form by Bit Form: Multi Step Form, Calculation Contact Form, Payment Contact Form & Custom Contact Form builder

• 危険性：認証済み (管理者+) 任意のファイルの読み取りと削除
• 脆弱性のあるバージョン：2.13.9まで
• 修正されたバージョン：2.13.10

Woo Inquiry

• 危険性：認証されていない SQL インジェクション
• 脆弱性のあるバージョン：0.1まで
• 修正されたバージョン：未対応

Ultimate Store Kit Elementor Addons, Woocommerce Builder, EDD Builder, Elementor Store Builder, Product Grid, Product Table, Woocommerce Slider

• 危険性：認証されていない PHP オブジェクト インジェクション
• 脆弱性のあるバージョン：1.6.4まで
• 修正されたバージョン：2.0.0

LiteSpeed Cache

• 危険性：認証されていない権限昇格
• 脆弱性のあるバージョン：6.3.0.1まで
• 修正されたバージョン：6.4

WPML Multilingual CMS

• 危険性：Twig サーバー側テンプレート インジェクションによる認証済み (コントリビューター以上) リモート コード実行
• 脆弱性のあるバージョン：4.6.12まで
• 修正されたバージョン：4.6.13

Favicon Generator

• 危険性：クロスサイト リクエスト フォージェリによる任意のファイル削除
• 脆弱性のあるバージョン：1.5まで
• 修正されたバージョン：2.1

InPost for WooCommerce

• 危険性：認証されていない任意のファイルのアップロード
• 脆弱性のあるバージョン：2.5.2まで
• 修正されたバージョン：未対応

WordPressでお悩みの方へ！