WordPress技術ブログは、毎週月曜日の午前7時に更新!最新の情報をお見逃しなく!

プラグインニュース

致命的!2024年4月のプラグイン脆弱性情報まとめ

  /

WordPressサイトの安全性を維持するためには、常にプラグインを最新の状態に保つことが不可欠です。プラグインを定期的に更新することで、新たに発見された脆弱性からウェブサイトを守り、潜在的なセキュリティリスクを回避することができます。

復旧作業を代行します。「エラーの原因がわからない」「サイトがおかしい」「ハッキングされたかも...」このような場合の復旧作業を弊社で代行いたします。まずはお困りごとをお聞かせください。お問い合わせ・お見積りは無料です。今すぐお問い合わせをする。

更新を怠るとどうなるのか

 更新をこまめに行わない場合、攻撃者が既知の脆弱性を利用してサイトを破壊したり、機密情報を盗み出すことが可能となります。このようなリスクを回避するため、プラグインの更新はただのオプションではなく、必要不可欠な対策として認識する必要があります。
4月に脆弱性が発見されたプラグインにも、危険度が高いものが複数報告されています。

危険度の高い脆弱性が発見されたプラグイン一覧(2024年4月末現在)

ActiveDEMAND

  • 危険性:任意のファイルをアップロード(リモートコードの実行)
  • 脆弱性のあるバージョン:0.2.41まで
  • 修正されたバージョン:0.2.42

Advanced Order Export For WooCommerce

  • 危険性:任意のファイルをアップロード(リモートコードの実行)
  • 脆弱性のあるバージョン:3.4.4まで
  • 修正されたバージョン:3.4.5

Advanced Page Visit Counter

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:8.0.6まで
  • 修正されたバージョン:未対応

AIKit

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:4.14.1まで
  • 修正されたバージョン:未対応

Auto Poster

  • 危険性:ローカルファイルインクルード(不正ファイルの設置/機密情報を抽出)
  • 脆弱性のあるバージョン:1.2まで
  • 修正されたバージョン:未対応

BA Book Everything

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:1.6.4まで
  • 修正されたバージョン:1.6.5

BWL Advanced FAQ Manager

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:2.0.3まで
  • 修正されたバージョン:2.0.4

BuddyForms

  • 危険性:リクエストフォージェリ(ファイルの読み取りとリクエスト)
  • 脆弱性のあるバージョン:2.8.8まで
  • 修正されたバージョン:2.8.9

CBX Bookmark & Favorite

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:1.7.20まで
  • 修正されたバージョン:未対応

Demo My WordPress

  • 危険性:未認証の権限昇格(攻撃者が自分の権限を管理者の権限に昇格)
  • 脆弱性のあるバージョン:1.0.9.1まで
  • 修正されたバージョン:1.1.0

Disable Comments | WPZest

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:1.51まで
  • 修正されたバージョン:未対応

Edwiser Bridge

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:3.0.2まで
  • 修正されたバージョン:3.0.4

Find Duplicates

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:1.4.6まで
  • 修正されたバージョン:未対応

Forminator

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:1.29.2まで
  • 修正されたバージョン:1.29.3

Forms to Zapier, Integromat, IFTTT, Workato, Automate.io, elastic.io, Built.io, APIANT, Webhook

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:1.1.12まで
  • 修正されたバージョン:未対応

Frontend Admin by DynamiApps

  • 危険性:不適切な暗号化例外処理(ユーザー処理フォーム操作)
  • 脆弱性のあるバージョン:3.19.4まで
  • 修正されたバージョン:3.19.5

HUSKY – Products Filter for WooCommerce (formerly WOOF)

  • 危険性:未認証コードインジェクション(リモートコードの実行)
  • 脆弱性のあるバージョン:1.3.5.2まで
  • 修正されたバージョン:1.3.5.3

Icegram Express – Email Subscribers, Newsletters and Marketing Automation Plugin

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:5.7.14まで
  • 修正されたバージョン:5.7.15

Import XML and RSS Feeds

  • 危険性:任意のファイルをアップロード(リモートコードの実行)
  • 脆弱性のあるバージョン:2.1.5まで
  • 修正されたバージョン:2.1.6

InstaWP Connect

  • 危険性:任意のファイルをアップロード(リモートコードの実行)
  • 脆弱性のあるバージョン:0.1.0.22まで
  • 修正されたバージョン:0.1.0.23

LayerSlider

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:7.9.11 – 7.10.0
  • 修正されたバージョン:7.10.1

LearnPress Export Import

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:4.0.3まで
  • 修正されたバージョン:4.0.4

Mailster

  • 危険性:ローカルファイルインクルード(不正ファイルの設置/機密情報を抽出)
  • 脆弱性のあるバージョン:4.0.6まで
  • 修正されたバージョン:4.0.7

Master Slider

  • 危険性:未認証のPHPオブジェクト挿入(機密情報を抽出)
  • 脆弱性のあるバージョン:3.9.5まで
  • 修正されたバージョン:3.9.7

MasterStudy LMS

  • 危険性:ローカルファイルインクルード(不正ファイルの設置/機密情報を抽出)
  • 脆弱性のあるバージョン:3.3.3まで
  • 修正されたバージョン:3.3.4

Masteriyo – LMS

  • 危険性:未認証の権限昇格(攻撃者が自分の権限を管理者の権限に昇格)
  • 脆弱性のあるバージョン:1.7.2まで
  • 修正されたバージョン:1.7.3

Newsletters

  • 危険性:任意のファイルをアップロード(リモートコードの実行)
  • 脆弱性のあるバージョン:4.9.5まで
  • 修正されたバージョン:4.9.6

Podlove Podcast Publisher

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:4.0.12まで
  • 修正されたバージョン:4.0.14

Poll Maker

  • 危険性:任意のファイルをアップロード(リモートコードの実行)
  • 脆弱性のあるバージョン:3.4まで
  • 修正されたバージョン:未対応

Product Addons & Fields for WooCommerce

  • 危険性:任意のファイルをアップロード(リモートコードの実行)
  • 脆弱性のあるバージョン:32.0.18まで
  • 修正されたバージョン:32.0.19

Product Designer

  • 危険性:PHPオブジェクトインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:1.0.32まで
  • 修正されたバージョン:1.0.33

Product Feed on WooCommerce for Google

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:3.5.7まで
  • 修正されたバージョン:未対応

Realtyna Organic IDX plugin

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:4.14.4まで
  • 修正されたバージョン:未対応

Rehub

  • 危険性:ローカルファイルインクルード(不正ファイルの設置/機密情報を抽出)
  • 脆弱性のあるバージョン:19.6.1まで
  • 修正されたバージョン:19.6.2

Sirv

  • 危険性:任意オプション更新(加入者以上のアクセス権の昇格)
  • 脆弱性のあるバージョン:7.2.2まで
  • 修正されたバージョン:7.2.3

Slideshow Gallery

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:1.7.8まで
  • 修正されたバージョン:未対応

SP Project & Document Manager

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:4.71まで
  • 修正されたバージョン:未対応

s2Member

  • 危険性:限定的な権限昇格(攻撃者がデフォルトよりも高い権限で登録)
  • 脆弱性のあるバージョン:240315まで
  • 修正されたバージョン:240325

Timetable and Event Schedule by MotoPress

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:2.4.11まで
  • 修正されたバージョン:2.4.12

User Activity Log

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:1.9まで
  • 修正されたバージョン:未対応

WooCommerce Multilingual & Multicurrency with WPM

  • 危険性:SQLインジェクション(機密情報を抽出)
  • 脆弱性のあるバージョン:5.3.3.1まで
  • 修正されたバージョン:5.3.4

WP Dummy Content Generator

  • 危険性:未認証コードインジェクション(リモートコードの実行)
  • 脆弱性のあるバージョン:3.2.1まで
  • 修正されたバージョン:3.3.0

WP Photo Album Plus

  • 危険性:任意のファイルをアップロード(リモートコードの実行)
  • 脆弱性のあるバージョン:8.6.03.004まで
  • 修正されたバージョン:8.6.03.005

あなたのサイトは大丈夫でしたか?

本記事でご紹介したプラグインの脆弱性情報の更新は、あくまで4月に発見された危険性が高いもののみとなります。セキュリティプラグインやサーバーのセキュリティを高めたとしても、WordPressにセキュリティホールが開いていては意味がありませんので、サイトを安心して運用できるよう、更新はこまめに行いましょう。
更新作業には知識が必要な場合もあり、そのような際は専門の支援が不可欠です。弊社ではWordPressの保守・復旧サービスを行っており、数々のハッキング復旧や保守作業で得た豊富な知識により、お客様のサイトが常に最高の状態で運用できるよう支援しています。プラグインの更新やセキュリティ対策にご不安がある場合は、ぜひ弊社までお気軽にご相談ください。安全なWeb環境の維持をお手伝いいたします。

WordPressでお悩みの方へ!

ABOUT ME
kamei
休みの日に娘と遊ぶことが一番の楽しみ。 趣味:麻雀、音楽鑑賞、配信を見ること
関連記事