2023年5月に確認されたWordPress関連の脆弱性情報です。
WordPressコアについては、コアのリリースに含まれたセキュリティアップデートの情報です。
プラグイン・テーマの脆弱性情報は、海外の脆弱性情報データベース等を元に、脆弱性のリスク・緊急度、プラグインやテーマの日本国内での使用状況等を鑑みてCCSIが独自に抽出したものです。
WordPressコア
| リリース日 (米国時間) | 各系統のコアリリース版(パッチ済) | 対応された脆弱性 |
| 2023年5月16日 | 6.2.1 / 6.1.2 / 6.0.4 / 5.9.6 / 5.8.7 / 5.7.9 / 5.6.11 / 5.5.12 / 5.4.13 / 5.3.15 / 5.2.18 / 5.1.16 / 5.0.19 / 4.9.23 / 4.8.22 / 4.7.26 / 4.6.26 / 4.5.29 / 4.4.30 / 4.3.31 / 4.2.35 / 4.1.38 / | ・ディレクトリトラバーザル(CVE-2023-2745) ・格納型XSS ・CSRF ・ブロック属性のサニタイズ不十分 ・ユーザー生成コンテンツでのショートコード実行 |
| 2023年5月19日 | 6.2.2 / 6.1.3 / 6.0.5 / 5.9.7 | ・ユーザー生成コンテンツでのショートコード実行 |
プラグイン
| プラグイン名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| Ninja Forms Contact Form | 3.6.21以前 | 3.6.22 | CVE-2023-1835 | 高 | XSS |
| tagDiv Composer | 4.0未満 | 4.0 | CVE-2023-1596 | 高 | XSS |
| Advanced Custom Fields / Advanced Custom Fields Pro | 6.1.6以前 | 6.1.6 | CVE-2023-30777 | 高 | XSS |
| Snow Monkey Forms | 5.0.6以前 | 5.0.7 | CVE-2023-28413 | 中 | ディレクトリトラバーザル |
| Metform Elementor Contact Form Builder | 3.3.0以前 | 3.3.0 | CVE-2023-1843 | 中 | アクセス制御の脆弱性 |
| Essential Addons for Elementor | 5.7.1以前 | 5.7.2 | CVE-2023-32243 | クリティカル | 権限昇格・PWリセット |
| WordPress Ultimate Addons for Contact Form 7 | 3.1.23以前 | 3.1.24 | CVE-2022-47586、 (CVE-2023-30495) | クリティカル | SQLインジェクション他 |
| Elementor | 4.4.2以前 | 4.4.3 | – | 中 | ディレクトリトラバーザル |
| UpdraftPlus / UpdraftPlus(Premium) | 1.22.14 – 1.23.2 / 2.22.14 – 2.23.2 | 1.23.3 / 2.23.3 | CVE-2023-32960 | 高 | 権限昇格 |
| Unlimited Elements For Elementor | 1.5.60以前 | 1.5.61 | CVE-2023-31090 | クリティカル | 任意のファイルアップロード |
| Duplicator Pro | 4.5.11以前 | 4.5.11.1 | CVE-2023-33309 | 中 | 反射型XSS |
| Elementor | 3.13.2 | 3.13. | CVE-2023-33922 | 中 | アクセス制御の脆弱性 |
| Essential Addons for Elementor Pro | 5.4.8以前 | 5.4.9 | CVE-2023-32245 / CVE-2023-32241 | 高 / 中 | サーバーサイド・リクエスト・フォージェリ他 |
テーマ
| テーマ名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| JupiterX | 3.0.0以前 | 3.1.0 | CVE-2023-32110 | 高 | ローカルファイルインクルージョン |
カテゴリ:
タグ:
WordPressプラグイン「Essential Addons for Elementor」の脆弱性