致命的！2024年6月のプラグイン脆弱性情報まとめ

WordPressサイトの安全性を維持するためには、常にプラグインを最新の状態に保つことが不可欠！

どんなに機能が充実したWordPressサイトも日ごろのメンテナンスを行っては意味がありません。

脆弱性情報をチェックしてあなたのサイトのセキュリティをグングン高めていきましょう！

WordPressのプラグイン更新を怠るとどうなる？

WordPressのプラグインを定期的に更新しないと、サイトがさまざまなリスクにさらされます。まず、古いプラグインにはセキュリティ脆弱性が存在することがあり、これが悪意のある攻撃者に利用されると、サイトがハッキングされる可能性が高まります。

ハッキングされると、データの漏洩やサイトの改ざん、さらにはサイトの完全な乗っ取りなどの深刻な問題が発生する可能性があります。

危険度の高い脆弱性が発見されたプラグイン一覧（2024年6月末現在）

• 危険性：「ays_questions」パラメータによる認証されていない SQL インジェクション
• 脆弱性のあるバージョン：6.5.8.3まで
• 修正されたバージョン：6.5.8.4

blaze-widget

• 危険性：悪意のあるPHPスクリプトの挿入
• 脆弱性のあるバージョン：2.2.5 – 2.5.2
• 修正されたバージョン：2.5.4

contact-form-7-multi-step-addon

• 危険性：悪意のあるPHPスクリプトの挿入
• 脆弱性のあるバージョン：1.0.4 – 1.0.5
• 修正されたバージョン：1.0.7

simply-show-hooks

• 危険性：悪意のあるPHPスクリプトの挿入
• 脆弱性のあるバージョン：1.2.1 – 1.2.2
• 修正されたバージョン：未対応

social-warfare

• 危険性：悪意のあるPHPスクリプトの挿入
• 脆弱性のあるバージョン：4.4.6.4 – 4.4.7.1
• 修正されたバージョン：4.4.7.3

wrapper-link-elementor

• 危険性：悪意のあるPHPスクリプトの挿入
• 脆弱性のあるバージョン：1.0.2 – 1.0.3
• 修正されたバージョン：1.0.5

InstaWP Connect

• 危険性：認証されていない任意のファイルのアップロード
• 脆弱性のあるバージョン：0.1.0.38まで
• 修正されたバージョン：0.1.0.39

Zoho Marketing Automation

• 危険性：SQLインジェクション
• 脆弱性のあるバージョン：1.2.7まで
• 修正されたバージョン：未対応

Themify

• 危険性：SQLインジェクション
• 脆弱性のあるバージョン：1.4.9まで
• 修正されたバージョン：1.5.0

Icegram Express

• 危険性：SQLインジェクション
• 脆弱性のあるバージョン：5.7.23まで
• 修正されたバージョン：5.7.24

WishList Member X

• 危険性：SQLインジェクション
• 脆弱性のあるバージョン：3.25.1まで
• 修正されたバージョン：未対応

Consulting Elementor Widgets

• 危険性：ローカルファイルのインクルード、SQLインジェクション
• 脆弱性のあるバージョン：1.3.0まで
• 修正されたバージョン：1.3.1

WishList Member X

• 危険性：任意のファイルをアップロード（リモートコードの実行）
• 脆弱性のあるバージョン：3.25.1まで
• 修正されたバージョン：未対応

Ali2Woo Lite

• 危険性：PHPオブジェクトインジェクション
• 脆弱性のあるバージョン：3.3.5まで
• 修正されたバージョン：未対応

Youzify

• 危険性：SQLインジェクション
• 脆弱性のあるバージョン：1.2.5まで
• 修正されたバージョン：未対応

WP Hotel Booking

• 危険性：SQLインジェクション
• 脆弱性のあるバージョン：2.1.0まで
• 修正されたバージョン：未対応

Lifeline Donation

• 危険性：認証バイパス（認証のすり抜け）
• 脆弱性のあるバージョン：1.2.6まで
• 修正されたバージョン：未対応

Shariff Wrapper

• 危険性：ローカルファイルのインクルード
• 脆弱性のあるバージョン：4.6.13まで
• 修正されたバージョン：4.6.14

WordPress Picture / Portfolio / Media Gallery

• 危険性：サーバー側リクエストフォージェリ
• 脆弱性のあるバージョン：3.0.1まで
• 修正されたバージョン：未対応

Salon Booking System

• 危険性：認証されていない任意のファイルのアップロード
• 脆弱性のあるバージョン：10.2まで
• 修正されたバージョン：10.3

Image Optimizer, Resizer and CDN

• 危険性：認証済み任意のファイルのアップロード
• 脆弱性のあるバージョン：7.2.6まで
• 修正されたバージョン：7.2.7

Squeeze

• 危険性：認証済み(管理者以上)任意のファイルのアップロード(リモートコードの実行)
• 脆弱性のあるバージョン：1.4まで
• 修正されたバージョン：1.4.1

Woody code snippets

• 危険性：認証済みリモートコード実行
• 脆弱性のあるバージョン：2.5.0まで
• 修正されたバージョン：2.5.1

Video Gallery

• 危険性：ローカルファイルのインクルード
• 脆弱性のあるバージョン：1.3.13まで
• 修正されたバージョン：未対応

WooCommerce

• 危険性：PHPオブジェクトインジェクション
• 脆弱性のあるバージョン：2.6.2まで
• 修正されたバージョン：2.6.3

LatePoint Plugin

• 危険性：IDOR経由での機密情報漏洩
• 脆弱性のあるバージョン：4.9.9まで
• 修正されたバージョン：4.9.9.1

Canto

• 危険性：認証されていないリモートファイルのインクルード
• 脆弱性のあるバージョン：3.0.8まで
• 修正されたバージョン：未対応

Where I Was, Where I Will Be

• 危険性：認証されていないリモートファイルのインクルード
• 脆弱性のあるバージョン：1.1.1まで
• 修正されたバージョン：未対応

CoDesigner WooCommerce Builder for Elementor

• 危険性：認証されていないPHPオブジェクトインジェクション
• 脆弱性のあるバージョン：4.4.1まで
• 修正されたバージョン：4.5

InstaWP Connect

• 危険性：認証されていない API セットアップ、任意のオプションの更新
• 脆弱性のあるバージョン：0.1.0.38まで
• 修正されたバージョン：0.1.0.39

Dokan Pro

• 危険性：SQLインジェクション
• 脆弱性のあるバージョン：3.10.3まで
• 修正されたバージョン：3.11.0

Blog2Social: Social Media Auto Post & Scheduler

• 危険性：認証済み任意のファイルのアップロード
• 脆弱性のあるバージョン：7.4.1まで
• 修正されたバージョン：7.4.2

Music Store

• 危険性：SQLインジェクション
• 脆弱性のあるバージョン：1.1.13まで
• 修正されたバージョン：1.1.14

BuddyPress Cover

• 危険性：認証されていない任意のファイルのアップロード
• 脆弱性のあるバージョン：2.1.4.2まで
• 修正されたバージョン：未対応

Gallery

• 危険性：SQLインジェクション
• 脆弱性のあるバージョン：2.0.3まで
• 修正されたバージョン：未対応

Visualizer

• 危険性： SQLインジェクション
• 脆弱性のあるバージョン：3.11.1まで
• 修正されたバージョン：3.11.2

WordPressでお悩みの方へ！