致命的！2024年9月のプラグイン脆弱性情報まとめ

WordPressサイトの安全性を維持するためには、常にプラグインを最新の状態に保つことが不可欠！

どんなに機能が充実したWordPressサイトも日ごろのメンテナンスを行っては意味がありません。

脆弱性情報をチェックしてあなたのサイトのセキュリティをグングン高めていきましょう！

WordPressのプラグイン更新を怠るとどうなる？

WordPressのプラグインを定期的に更新しないと、サイトがさまざまなリスクにさらされます。まず、古いプラグインにはセキュリティ脆弱性が存在することがあり、これが悪意のある攻撃者に利用されると、サイトがハッキングされる可能性が高まります。

ハッキングされると、データの漏洩やサイトの改ざん、さらにはサイトの完全な乗っ取りなどの深刻な問題が発生する可能性があります。

危険度の高い脆弱性が発見されたプラグイン一覧（2024年9月末現在）

• 危険性：認証バイパスによるアカウント乗っ取りと権限昇格
• 脆弱性のあるバージョン： 8.4.1まで
• 修正されたバージョン：8.5.0

Wechat Social login

• 危険性：認証済み (管理者以上) SQL インジェクション
• 脆弱性のあるバージョン：1.3.0まで
• 修正されたバージョン：未対応

Echo RSS Feed Post Generator

• 危険性：認証されていない権限昇格
• 脆弱性のあるバージョン：5.4.6まで
• 修正されたバージョン：5.4.7

Wechat Social login

• 危険性：認証バイパス
• 脆弱性のあるバージョン：1.3.0まで
• 修正されたバージョン：未対応

GiveWP

• 危険性：認証されていない PHP オブジェクト インジェクション
• 脆弱性のあるバージョン：3.16.1 まで
• 修正されたバージョン：3.16.2

WP Timeline – Vertical and Horizontal timeline plugin

• 危険性：認証されていないローカル ファイルのインクルード
• 脆弱性のあるバージョン： 3.6.7まで
• 修正されたバージョン：3.6.8

WordPress Simple HTML Sitemap

• 危険性：認証済み (管理者以上) SQL インジェクション
• 脆弱性のあるバージョン：3.1まで
• 修正されたバージョン：3.2

REST API TO MiniProgram

• 危険性：認証されていない任意のユーザーの電子メール更新とアカウント乗っ取りによる権限昇格
• 脆弱性のあるバージョン：4.7.1まで
• 修正されたバージョン：未対応

VR Calendar

• 危険性：認証されていないローカル ファイルのインクルード
• 脆弱性のあるバージョン：2.4.0まで
• 修正されたバージョン：未対応

The Events Calendar

• 危険性：認証されていない SQL インジェクション
• 脆弱性のあるバージョン：6.6.4まで
• 修正されたバージョン：6.6.4.1

Daily Prayer Time

• 危険性：認証済み (貢献者+) SQL インジェクション
• 脆弱性のあるバージョン：2024.08.26まで
• 修正されたバージョン：2024.09.14

Vmax Project Manager

• 危険性：認証されていないローカル ファイルのインクルード
• 脆弱性のあるバージョン：1.0 まで
• 修正されたバージョン：未対応

WP Ticket Ultra Help Desk & Support Plugin

• 危険性：認証されていないローカル ファイルのインクルード
• 脆弱性のあるバージョン：1.0.5まで
• 修正されたバージョン：未対応

WP Newsletter Subscription

• 危険性：認証されていないローカル ファイルのインクルード
• 脆弱性のあるバージョン：1.1まで
• 修正されたバージョン：未対応

MH Board

• 危険性：認証されていないローカル ファイルのインクルード
• 脆弱性のあるバージョン：1.3.2.1まで
• 修正されたバージョン：未対応

Podiant

• 危険性：認証されていないローカル ファイルのインクルード
• 脆弱性のあるバージョン：1.1まで
• 修正されたバージョン：未対応

WPSPX

• 危険性：認証されていないローカル ファイルのインクルード
• 脆弱性のあるバージョン：1.0.2 まで
• 修正されたバージョン：未対応

 

Contact Form 7 Campaign Monitor Extension

• 危険性：認証されていない任意のファイル削除に対する承認がありません
• 脆弱性のあるバージョン：0.4.67まで
• 修正されたバージョン：未対応

Users Control

• 危険性：認証されていないローカル ファイルの取り込み
• 脆弱性のあるバージョン：1.0.16まで
• 修正されたバージョン：未対応

Instant Chat Floating Button for WordPress Websites

• 危険性：認証されていないローカル ファイルのインクルード
• 脆弱性のあるバージョン：1.0.5まで
• 修正されたバージョン：未対応

ABCApp Creator

• 危険性：認証されていないローカル ファイルのインクルード
• 脆弱性のあるバージョン：1.1.2まで
• 修正されたバージョン：未対応

Prisna GWT

• 危険性：認証済み（管理者+）PHP オブジェクト インジェクション
• 脆弱性のあるバージョン：1.4.11まで
• 修正されたバージョン：1.4.12

WP Easy Gallery

• 危険性：認証済み (サブスクライバー+) SQL インジェクション
• 脆弱性のあるバージョン：4.8.5 まで
• 修正されたバージョン：未対応

MDTF – Meta Data and Taxonomies Filter

• 危険性：認証済み (コントリビューター+) SQL インジェクション
• 脆弱性のあるバージョン：1.3.3.3まで
• 修正されたバージョン：1.3.3.4

Donation Forms by Charitable

• 危険性：アカウント乗っ取りと権限昇格への安全でない直接オブジェクト参照
• 脆弱性のあるバージョン：1.8.1.14まで
• 修正されたバージョン：1.8.1.15

WooEvents

• 危険性：認証されていない任意のファイルの上書き
• 脆弱性のあるバージョン：4.1.2まで
• 修正されたバージョン：4.1.3

Webo-facto

• 危険性：認証されていない権限昇格
• 脆弱性のあるバージョン：1.40まで
• 修正されたバージョン：1.41

Backuply

• 危険性：認証済み (管理者+) SQL インジェクション
• 脆弱性のあるバージョン：1.3.4 まで
• 修正されたバージョン：1.3.5

LearnPress

• 危険性：’c_only_fields’ による認証されていない SQL インジェクション,’c_fields’ 経由の認証されていない SQL インジェクション
• 脆弱性のあるバージョン：4.2.7まで
• 修正されたバージョン：4.2.7.1

WooCommerce Photo Reviews Premium

• 危険性：認証バイパスによるアカウント乗っ取りと権限昇格
• 脆弱性のあるバージョン：1.3.13.2まで
• 修正されたバージョン：1.3.14

 

video carousel slider with lightbox

• 危険性：認証済み（管理者以上）SQL インジェクション
• 脆弱性のあるバージョン：1.0.6まで
• 修正されたバージョン：1.0.7

WPCOM Member

• 危険性：ユーザー メタによる認証されていない権限昇格
• 脆弱性のあるバージョン：1.5.2.1まで
• 修正されたバージョン：1.5.3

WP-Recall

• 危険性：認証されていない任意のパスワード更新への安全でない直接オブジェクト参照
• 脆弱性のあるバージョン：16.26.8 まで
• 修正されたバージョン：16.26.9

MultiVendorX

• 危険性：限定ベンダー権限の昇格/アカウント乗っ取りに対する承認が不足しています
• 脆弱性のあるバージョン：4.2.0まで
• 修正されたバージョン：4.2.1

WordPressでお悩みの方へ！