2024年1月に確認されたWordPress関連の脆弱性情報です。
WordPressコアについては、コアのリリースに含まれたセキュリティアップデートに関する情報です。
プラグインの脆弱性情報は、海外の脆弱性情報データベース等を元に、脆弱性のリスク・緊急度、日本国内での使用状況等を鑑みてCCSIが独自に抽出したものです。
WordPressコア
| リリース日 (米国時間) | 各系統のコアリリース版(パッチ済) | 対応された脆弱性 |
| 2024年1月30日 | 6.4.3, 6.3.3, 6.2.4, 6.1.5, 6.0.7, 5.9.9, 5.8.9, 5.7.11, 5.6.13, 5.5.14, 5.4.15, 5.3.17, 5.2.20, 5.1.18, 5.0.21, 4.9.25, 4.8.24, 4.7.28, 4.6.28, 4.5.31, 4.4.32, 4.3.33, 4.2.37, 4.1.40 | ・管理者または特権管理者によるサイトへのPHPファイル直接アップロード ・オプション保存方法に関する潜在的なPHPオブジェクトインジェクションの問題 |
プラグイン
| プラグイン名称 | 対象ver. | パッチ済ver. | CVE-ID | リスク | メモ |
| LeanPress | 4.2.5.7以前 | 4.2.5.8 | CVE-2023-6634 CVE-2023-6567 CVE-2023-7002 | 高 中 重大 | コマンドインジェクション SQLインジェクション 情報漏洩に繋がる直接のオブジェクト参照 |
| WP Mail Log | 4.9.4以前 | 4.9.5 | CVE-2023-51410 | 高い | 任意のファイルアップロード |
| Download Monitor | 2.9.6以前 | 2.9.7 | 高 | SQLインジェクション | |
| POST SMTP Mailer/Email Log | 2.8.7以前 | 2.8.8 | CVE-2023-6875 CVE-2023-7027 | 重大 高 | タイプジャグリングの問題による認証バイパス脆弱性 格納型XSS |
| Unlimited Addons for WPBakery Page Builder | 1.0.42以前 | CVE-2023-6925 | 高 | 任意のファイルアップロード | |
| Essential Addons for Elementor | 5.9.4以前 | 5.9.5 | CVE-2024-0586 | 中 | 格納型XSS |
| Advanced Custom Fields | 6.2.4以前 | 6.2.5 | CVE-2023-6701 | 中 | 格納型XSS |
| Happy Addons for Elementor | 3.10.0以前 | 3.10.1 | 中 | 格納型XSS | |
| File Manager Pro | 8.3.4以前 | 8.3.5 | CVE-2023-6846 | 高 | 任意のファイルアップロード |
| Stripe Payment Plugin for WooCommerce | 3.7.9以前 | 3.8.0 | CVE-2024-0705 | 重大 | SQLインジェクション |
| AMP for WP | 1.0.92.1以前 | 1.0.93 | CVE-2024-0587 | 高 | XSS |
| Better Search Replace | 1.4.4以前 | 1.4.5 | CVE-2023-6933 | 重大 | PHPオブジェクトインジェクション |
| File Manager | 7.2.1以前 | 7.2.2 | CVE-2024-0761 | 高 | 機密情報の漏洩 |
| WPvivid | 0.9.94以前 | 0.9.95 | CVE-2023-4637 | 中 | アクセス制御の不具合 |
| WPForms Pro | 1.8.5.3以前 | 1.8.5.4 | CVE-2023-7063 | 高 | XSS |
カテゴリ:
タグ:
WordPress脆弱性情報:2023年12月分