【2024年9月版】WordPressの脆弱性情報一覧

皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年9月26日に執筆しています。

今回はWordPress本体の脆弱性情報一覧を公開してみたいと思います。

WordPressはウェブサイトやブログを作成、管理するためのオープンソースのCMS(コンテンツ・マネジメント・システム)です。
このWordPressは世界で最も利用されているCMSであり、W3Techsによれば、世界中のWebサイトの約43.4%がWordPressで構築されているとのことです。

一方で、世界で最も利用されているCMSであるからこそ、その脆弱性をついたサイバー攻撃の標的になりやすいという特徴も有しています。

近年、特に2013年以降におけるWordPressの脆弱性は、テーマやプラグインに関するものが多くを占めていますが、WordPress本体(コア)に関する脆弱性への対応が重要であることは変わりません。

そこで、この記事ではWordPress本体(コア)の脆弱性情報をまとめることで、企業のWeb担当者の皆様が、ご使用になられているWordPressの脆弱性を簡単に把握できるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

WordPressの脆弱性に関するポイント

WordPressの最新バージョンは6.6系統(Dorseyドーシー)です。

あまり知られていませんが、WordPressのセキュリティサポートは最新バージョンのみとなります。

2024年9月26日現在、最新バージョンは6.6.2 (2024年9月10日リリース)ですので、6.6.1以下の公式サポートは終了していることになります。

とはいえ、WordPressは実際には古いバージョンに対するセキュリティアップデートも可能な範囲で提供していることから、最新バージョンではないからセキュリティサポートが無いということではありません。
各バージョンとサポート状況については、「WordPressのバージョン情報とサポート期限」をご確認ください。

WordPressの脆弱性情報一覧

WordPress本体(コア)6.0以上に関する脆弱性については、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分される脆弱性情報を掲載します。
WordPress本体(コア)4.1以上6.0未満に関する脆弱性については、CVSS v3にて緊急(9.0~10.0)に区分される脆弱性情報のみを掲載します。

脆弱性情報 深刻度 影響を受けるバージョン 修正されたバージョン

CVE-2024-6307
CVE-2024-6307 Detail

CVSS v3
6.4 (警告)
WordPress 6.5.4まで WordPress 6.5.5

CVE-2024-4439
CVE-2024-4439 Detail

CVSS v3
7.2 (重要)
WordPress 6.5.0から6.5.1まで
WordPress 6.4.0から6.4.3まで
WordPress 6.3.0から6.3.3まで
WordPress 6.2.0から6.2.4まで
WordPress 6.1.0から6.1.5まで
WordPress 6.0.0から6.0.7まで
WordPress 6.5.2
WordPress 6.4.4
WordPress 6.3.4
WordPress 6.2.5
WordPress 6.1.6
WordPress 6.0.8

CVE-2023-38000
CVE-2023-38000 Detail

CVSS v3
5.4 (警告)
WordPress 6.3.0から6.3.1まで
WordPress 6.2.0から6.2.2まで
WordPress 6.1.0から6.1.3まで
WordPress 6.0.0から6.0.5まで
WordPress 5.9.0から5.9.7まで
WordPress 6.3.2
WordPress 6.2.3
WordPress 6.1.4
WordPress 6.0.6
WordPress 5.9.8

CVE-2023-2745
CVE-2023-2745 Detail

CVSS v3
6.1 (警告)
WordPress 6.2.0まで WordPress 6.2.1

CVE-2021-44223
JVNDB-2021-015652

CVSS v3
9.8(緊急)
WordPress 5.7まで WordPress 5.8

CVE-2020-28039
JVNDB-2020-012761

CVSS v3
9.1 (緊急)
WordPress 5.5.1まで WordPress 5.5.2

CVE-2020-28037
JVNDB-2020-012759

CVSS v3
9.8 (緊急)
WordPress 5.5.1まで WordPress 5.5.2

CVE-2020-28036
JVNDB-2020-012758

CVSS v3
9.8 (緊急)
WordPress 5.5.1まで WordPress 5.5.2

CVE-2020-28035
JVNDB-2020-012757

CVSS v3
9.8 (緊急)
WordPress 5.5.1まで WordPress 5.5.2

CVE-2020-28032
JVNDB-2020-012754

CVSS v3
9.8 (緊急)
WordPress 5.5.1まで WordPress 5.5.2

CVE-2019-20041
JVNDB-2019-013498

CVSS v3
9.8 (緊急)
WordPress 5.3.0まで WordPress 5.3.1

CVE-2019-17670
JVNDB-2019-011128

CVSS v3
9.8 (緊急)
WordPress 5.2.3まで WordPress 5.2.4

CVE-2019-17669
JVNDB-2019-011127

CVSS v3
9.8 (緊急)
WordPress 5.2.3まで WordPress 5.2.4

CVE-2018-20148
JVNDB-2018-012936

CVSS v3
9.8 (緊急)
WordPress 5.0.0
WordPress 4.9.8まで
WordPress 5.0.1
WordPress 4.9.9

CVE-2017-16510
JVNDB-2017-009830

CVSS v3
9.8 (緊急)
WordPress 4.8.2まで WordPress 4.8.3

CVE-2017-14723
JVNDB-2017-008311

CVSS v3
9.8 (緊急)
WordPress 4.8.1まで WordPress 4.8.2

CVE-2017-5611
JVNDB-2017-001405

CVSS v3
9.8 (緊急)
WordPress 4.7.1まで WordPress 4.7.2

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。前述の掲載ルール外の脆弱性情報については、JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulunerability Database(以下「NVD」)に準拠しています。
※CVEで採番されていない脆弱性情報や、CVEで採番されていてもNVDで深刻度が割り振られていない脆弱性情報については掲載していません。
※原則としてJVNのページを正としていますが、JVNに掲載されていない情報などについてはNVDのサイトを参照しています。
※本記事における脆弱性情報は、当社が把握している情報の一部であり、全ての脆弱性情報を網羅できているわけではありません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

WordPressのバージョンアップ方法

ステージング環境の準備とバックアップ

まず、WordPressで構築されたWebサイトの動作テストを行うための環境を構築し、同環境内で各種バージョンアップ業務と不具合の解決を実施していきます。
WordPressサイトが適切に管理されている場合には、いわゆるステージング環境(テスト環境)が用意されていることが多いため、通常はこちらを利用します。

もしステージング環境が存在しない場合には、このステージング環境の構築からスタートします。
また、運用方針によってはステージング環境とは別にディベロップ環境を構築し、そちらでバージョンアップ業務をテストしていくこともあります。

いずれにせよ、トラブル時に元の状態に戻せるようにバックアップをしっかりと保管しておく必要があります。

PHPのバージョンアップ

次に、ミドルウェアであるPHPのバージョンアップを実施します。

WordPressはPHPというプログラム言語で開発されており、PHPのバージョンが一定以下だと最新のWordPressが正常に挙動しないということが起こりえます。

また、PHP自体に脆弱性が見つかるため、セキュリティ対策の面でもPHPのバージョンアップを実施する必要があります。
PHPの脆弱性情報については、下記ページを参照してください。
PHP8.xの脆弱性情報一覧
PHP7.4の脆弱性情報一覧
PHP7.3の脆弱性情報一覧
PHP7.2の脆弱性情報一覧
PHP7.1の脆弱性情報一覧
PHP7.0の脆弱性情報一覧
PHP5.6の脆弱性情報一覧

さらに、近年のPHPはバージョンが新しくなればなるほど処理速度が速くなるように開発が進められています。
WordPressで構築されたWebサイトの表示速度を向上させるためにも、PHPのバージョンアップは重要になります。

WordPress本体・テーマ・プラグインのバージョンアップ

WordPress本体はPHPで開発されているため、PHPのバージョンアップはWordPress本体に影響を与えますし、テーマやプラグインはWordPress上で動作するため、WordPress本体のバージョンアップはテーマやプラグインに影響を与えます。

その為、PHP、WordPress本体、テーマ、プラグインのバージョンアップを依存関係の基礎となる側から順次実施していき、不具合を見つけては一つずつ地道にこれを解消していく必要があります。

本番環境への反映、テスト

以上のバージョンアップ作業を実施した後、本番環境に反映させます。
本番環境に反映後も、挙動テストを実施します。

WordPressのバージョンアップに強いWeb制作会社をお探しの場合にはご相談ください

前述のように、WordPressはPHPをはじめとするミドルウェア(MySQLやApache)や、WordPress上で動作するテーマやプラグインとの依存関係に留意しながら、バージョンアップを行う必要があります。

また、Web制作会社はいわゆるWebアプリケーション側(WebサイトやCMS等)を専門としていますので、WordPressについては得意な会社が多いと思いますが、PHPを含めたミドルウェアについては対応されていない会社も多いと思います。

当社に関して

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されています。
特に、WordPressの適切なバージョンアップについては、専門チームも有しており、豊富な実績を有します。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを 構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

ミドルウェアも含めたWordPressバージョンアップに対応できるWeb制作会社をお探しの場合には、お気軽に当社にお問い合わせください。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。