- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。
本記事はAdvanced Custom Fieldsのバージョンと脆弱性への対応状況についてまとめたもので、2024年12月23日に改訂しています。
Advanced Custom Fieldsは、WordPressサイトの管理画面にカスタムフィールドを簡単に追加・管理できるプラグインであり、WP Engine社によって開発・サポートされてきました。
しかしながら、WP Engine社とWordPressのホスティングサービス(WordPress.com)を提供しているAutomattic社の関係悪化から、2024年10月頃、WordPress公式サイト(WordPress.org)におけるAdvanced Custom FieldsのPlugin Directoryが、WordPress.orgが開発・サポートをするSecure Custom Fieldsに変更されました。
Advanced Custom Fieldsの開発・サポートをしているWP Engine社は、別にAdvanced Custom Fieldsの公式サイトを立ち上げて、開発とサポートを継続すると公表しており、現在でもSecure Custom Fieldsとは別にアップデートをしています。
この時点での、Advanced Custom FieldsとSecure Custom Fieldsの関係をまとめると、次のようになります。
| プラグイン名称 | 開発・サポート組織 | 公式サイト | 説明 |
| Advanced Custom Fields | WP Engine社 | https://www.advancedcustomfields.com/ | 本家本元のAdvanced Custom Fields |
| Secure Custom Fields | WordPress.org | https://ja.wordpress.org/plugins/advanced-custom-fields/ | Advanced Custom Fieldsのフォーク |
その後、2024年12月10日に、カリフォルニア北部地区連邦地方裁判所において、WPEngineからAutomatticに対する仮差し止め命令処分判決が出されたようです。
この仮差し止め命令処分判決により、両社が訴訟を継続している間は2024年9月20日以前の状態が維持されることになったとのこと。
※当社はアメリカの司法手続きについては詳しくない為、詳細については、こちらのGigaZINEの記事をご確認ください。
その結果、Secure Custom Fieldsに変更されていたAdvanced Custom Fields のPlugin Directoryは、元通りAdvanced Custom Fieldsに戻り、Secure Custom Fieldsは別のPlugin Directoryを開設した模様です。
2024年12月23日時点での、Advanced Custom FieldsとSecure Custom Fieldsの関係をまとめると、次のようになります。
| プラグイン名称 | 開発・サポート組織 | 公式サイト | 説明 |
| Advanced Custom Fields | WP Engine社 | https://www.advancedcustomfields.com/ https://ja.wordpress.org/plugins/advanced-custom-fields/ |
本家本元のAdvanced Custom Fields |
| Secure Custom Fields | WordPress.org | https://wordpress.org/plugins/secure-custom-fields/ | Advanced Custom Fieldsのフォーク |
2024年12月23日現在、Advanced Custom Fieldsは、アクティブインストールは200万以上、総ダウンロード数5千709万回以上を計測しており、世界でも有名なプラグインの一つと言ってよいでしょう。
一方で、有名なプラグインであるため、攻撃対象になりやすい側面もあることから、クライアントから脆弱性に関する質問を受けることがよくあります。
今回の事態により、今後バージョンアップも二つに分かれていくことになり、影響は非常に大きなものであると考えられます。
この記事では、企業のWeb担当の皆様に向けて、Advanced Custom Fieldsの概要並びに、脆弱性及びその対応状況をご紹介することで、Advanced Custom Fields自体についてはセキュリティ的に安心して使用していただけるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
Advanced Custom Fieldsとは
前述の通り、Advanced Custom Fieldsは、WP Engine社が開発・サポートを継続している、オープンソースのWordPress向けプラグインです。
Advanced Custom Fieldsは、WordPressの投稿ページや固定ページ、カテゴリ、コメント欄などへ入力欄(フィールド)を追加し管理できるプラグインであり、特定のコンテンツにデータを簡単に組み込むことができるようになります。
また、直感的なUIでの実装が可能で、運用段階でも使用しやすいことが特長です。
Advanced Custom Fieldsのフィールドタイプとレイアウト調整機能
| 基本フィールド | 主にテキストや数値などを直接入力・管理できるフィールドです。 種類は「テキスト」「テキストエリア」「数値」「Range」「メール」「URL」「パスワード」の7種類です。 |
| コンテンツフィールド | WordPressのデフォルトのエディタと同様のエディタを追加・管理できるフィールドです。 種類は「画像」「ファイル」「Wysiwyg エディタ」「oEmbed」の4種類です。 |
| 選択肢フィールド | セレクトボックスやチェックボックスなど、選択肢を入力項目に追加・管理できるフィールドです。 種類は「Select」「チェックボックス」「ラジオボタン」「Button Group」「真 / 偽」の5種類です。 |
| 関連フィールド | WordPress上での投稿記事や固定ページなどの情報を取得し、入力項目として設定することができるフィールドです。 種類は「Link」「投稿オブジェクト」「ページリンク」「関連」「タクソノミー」「ユーザー」の6種類です。 |
| Advancedフィールド | 主にjQueryやjQuery UI,API等で制御するGoogleマップや日付選択などを追加・管理できるフィールドです。 種類は「Googleマップ」「日付選択ツール」「日時選択ツール」「時間選択ツール」「カラーピッカー」の5種類です。 |
| レイアウト調整機能 | 追加したフィールドタイプのレイアウトを変更し、ユーザビリティを向上させる機能です。 種類は「メッセージ」「Accordion」「タブ」「Group」の4種類です。 |
開発・アップデートの継続
前述のように、有名なプラグイン(ダウンロード数が多いプラグイン)は、攻撃のターゲットとして狙われやすいという側面があります。
当社では、WordPress自体は非常に堅牢なCMSであり、バージョンアップをしっかりと行えば大きな侵入のリスクは少ないと考えています。
実際に、WordPress本体(コア)の脆弱性の数はプラグインやテーマに比べて少なく、特に最近では緊急レベルの脆弱性報告は減少しています。
※詳細は、当社が公表しているWordPressの脆弱性情報一覧を参照してください。
一方で、膨大な数のプラグインやアドオンが存在し、それらの脆弱性を狙った攻撃が増加しています。
※「20 WordPress Statistics You Should Know in 2023」によれば、WordPressに関連する脆弱性の約90%はプラグインに、6%はテーマに、残りの4%はWordPressコアに起因しているとのことです。
特に、Advanced Custom Fieldsのようなダウンロード数の多いプラグインは、多くのユーザーに利用されているため狙われる傾向にあります。
※ Hackers target WordPress plugin flaw after PoC exploit released
※ Vulnerability in Field Builder Plugin Exposes Over 2M WordPress Sites to Attacks
そのため、Advanced Custom Fieldsのように定期的にアップデートされ、脆弱性が迅速に修正されることは、セキュリティ対策の観点から非常に重要です。
当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントに推奨していません。
Advanced Custom Fieldsのバージョン情報に関するポイント
公式サイトに直接的な記載はありませんが、Advanced Custom Fieldsは、通常のセマンティックバージョニングに近いバージョニングを採用しており、基本的には、左からメジャーバージョン、マイナーバージョン、パッチバージョンの3つの数字で構成されています。
なお、一部のバージョンでは4桁目の数字が追加されていますが、これはセマンティックバージョニングの定義に従ったビルドメタデータやプレリリースではなく、追加の修正や同一日に複数のリリースを行った際に適用される、独自のバージョニング方式であると考えられます。
2024年12月23日現在、Advanced Custom Fieldsの最新バージョンは6.3.11であり、WordPress6.7.1までテストされています。
通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)対象は最新パッチバージョンのみであり、6系統の最新パッチバージョンにアップデートする必要がありますが、Advanced Custom Fieldsでは、重大な脆弱性に関する対応を5系に対しても行っているようです。
しかしながら、5系統のアップデートを保証しているという公式アナウンスは見当たりませんので、5系統をお使いであっても6系統の最新パッチバージョンへのアップデートを推奨いたします。
Advanced Custom Fieldsのバージョン情報
2024年12月23日現在での、Advanced Custom Fieldsのバージョン情報は次の通りです。
| バージョン | リリース日 | サポート期限 | 修正された脆弱性 |
| 6.3.11 | 2024年11月12日 | サポート中 | - |
| 6.3.10.2 | 2024年10月29日 | 2024年11月12日 | - |
| 6.3.10.1 | 2024年10月29日 | 2024年10月29日 | - |
| 6.3.10 | 2024年10月29日 | 2024年10月29日 | - |
| 6.3.9 | 2024年10月15日 | 2024年10月29日 | CVE-2024-9529 WordFence |
| 6.3.8 | 2024年10月7日 | 2024年10月15日 | - |
| 6.3.6 | 2024年8月28日 | 2024年10月7日 | CVE-2024-45429 |
| 6.3.5 | 2024年8月1日 | 2024年8月28日 | - |
| 6.3.4 | 2024年7月18日 | 2024年8月1日 | - |
| 6.3.3 | 2024年6月27日 | 2024年7月18日 | - |
| 6.3.2 | 2024年6月24日 | 2024年6月27日 | - |
| 6.3.1 | 2024年6月4日 | 2024年6月24日 | - |
| 6.3.0 | 2024年5月22日 | 2024年6月4日 | CVE-2024-4565 |
| 6.2.10 | 2024年5月15日 | 2024年5月22日 | - |
| 6.2.9 | 2024年4月8日 | 2024年5月15日 | - |
| 6.2.8 | 2024年4月2日 | 2024年4月8日 | - |
| 6.2.7 | 2024年2月27日 | 2024年4月2日 | - |
| 6.2.6.1 | 2024年2月7日 | 2024年2月27日 | - |
| 6.2.6 | 2024年2月6日 | 2024年2月7日 | - |
| 6.2.5 | 2024年1月16日 | 2024年2月6日 | CVE-2023-6701 |
| 6.2.4 | 2023年11月28日 | 2024年1月16日 | - |
| 6.2.3 | 2023年11月15日 | 2023年11月28日 | - |
| 6.2.2 | 2023年10月25日 | 2023年11月15日 | - |
| 6.2.1.1 | 2023年9月8日 | 2023年10月25日 | - |
| 6.2.1 | 2023年9月7日 | 2023年9月8日 | - |
| 6.2.0 | 2023年8月9日 | 2023年9月7日 | - |
| 6.1.8 | 2023年8月3日 | 2023年8月9日 | CVE-2023-40068 |
| 6.1.7 | 2023年6月27日 | 2023年8月3日 | - |
| 6.1.6 | 2023年5月4日 | 2023年6月27日 | CVE-2023-30777 |
| 6.1.5 | 2023年5月2日 | 2023年5月4日 | - |
| 6.1.4 | 2023年4月12日 | 2023年5月2日 | - |
| 6.1.3 | 2023年4月5日 | 2023年4月12日 | - |
| 6.1.2 | 2023年4月4日 | 2023年4月5日 | - |
| 6.1.1 | 2023年4月3日 | 2023年4月4日 | - |
| 6.1.0 | 2023年4月3日 | 2023年4月3日 | CVE-2023-1196 |
| 6.0.7 | 2023年1月18日 | 2023年4月3日 | - |
| 6.0.6 | 2022年12月13日 | 2023年1月18日 | - |
| 6.0.5 | 2022年11月18日 | 2022年12月13日 | - |
| 6.0.4 | 2022年11月8日 | 2022年11月18日 | - |
| 6.0.3 | 2022年10月18日 | 2022年11月8日 | CVE-2022-40696 |
| 6.0.2 | 2022年9月29日 | 2022年10月18日 | - |
| 6.0.1 | 2022年9月28日 | 2022年9月29日 | - |
| 6.0.0 | 2022年9月21日 | 2022年9月28日 | - |
| 5.12.6 | 2023年5月4日 | - | - |
| 5.12.5 | 2023年4月4日 | 2023年5月4日 | CVE-2023-1196 |
| 5.12.4 | 2022年10月18日 | 2023年4月4日 | - |
| 5.12.3 | 2022年7月14日 | 2022年10月18日 | CVE-2022-2594 |
| 5.12.2 | 2022年4月6日 | 2022年7月14日 | - |
| 5.12.1 | 2022年3月23日 | 2022年4月6日 | CVE-2022-23183 |
| 5.12 | 2022年2月23日 | 2022年3月23日 | - |
| 5.11.4 | 2021年12月2日 | 2022年2月23日 | - |
| 5.11.3 | 2021年11月24日 | 2021年12月2日 | - |
| 5.11.2 | 2021年11月24日 | 2021年11月24日 | - |
| 5.11.1 | 2021年11月18日 | 2021年11月24日 | - |
| 5.11 | 2021年11月10日 | 2021年11月18日 | CVE-2021-20867 CVE-2021-20866 CVE-2021-20865 |
| 5.8.12 | 2020年6月10日 | 2020年8月10日 | CVE-2020-36172 |
| 5.7.8 | 2018年12月7日 | 2018年12月17日 | CVE-2018-20986 |
※上記の内容は、バージョン5.11までを掲載しています。また、それ以前のバージョンについては、下記脆弱性が修正されたバージョンを追記しています。
※バージョン6.3.8以下には既知の脆弱性が存在するため、グレーにしています。
Advanced Custom Fieldsの脆弱性情報
Advanced Custom Fieldsの最新バージョンは6.3.11であり、当社が把握している全ての脆弱性に修正対応済みとなっています。
また、Advanced Custom Fields 6.3.8以下のバージョンをご使用の場合には、既知の脆弱性が存在する可能性がありますので、最新バージョンへとアップデートをしてください。
なお、Advanced Custom Fields自体に関する脆弱性情報で、当社が把握しているものは次の通りです。
| 脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
| CVE-2024-49593 CVE-2024-49593 Detail |
CVSS v3 4.4 (警告) |
Advanced Custom Fields 6.3.8までのバージョン | Advanced Custom Fields 6.3.9 |
| CVE-2024-9529 CVE-2024-9529 Detail |
CVSS v3 5.1 (警告) |
Advanced Custom Fields 6.3.8までのバージョン | Advanced Custom Fields 6.3.9 |
| CVE-2024-45429 JVNDB-2024-000093 |
CVSS v3 5.4 (警告) |
Advanced Custom Fields 6.3.5までのバージョン | Advanced Custom Fields 6.3.6 |
| CVE-2024-4565 JVNDB-2024-004371 |
CVSS v3 6.5 (警告) |
Advanced Custom Fields 6.2.10までのバージョン | Advanced Custom Fields 6.3 |
| CVE-2023-40068 JVNDB-2023-000084 |
CVSS v3 5.4 (警告) |
Advanced Custom Fields 6.1.0 から 6.1.7 | Advanced Custom Fields 6.1.8 |
| CVE-2023-30777 JVNDB-2023-010231 |
CVSS v3 6.1 (警告) |
Advanced Custom Fields 6.1.5までのバージョン | Advanced Custom Fields 6.1.6 |
| CVE-2023-6701 JVNDB-2023-025942 |
CVSS v3 5.4 (警告) |
Advanced Custom Fields 6.2.4までのバージョン | Advanced Custom Fields 6.2.5 |
| CVE-2023-1196 JVNDB-2023-026740 |
CVSS v3 8.8 (重要) |
Advanced Custom Fields 6.0.0から6.0.7 Advanced Custom Fields 5.0.0から5.12.4 |
Advanced Custom Fields 6.1.0 Advanced Custom Fields 5.12.5 |
| CVE-2022-40696 JVNDB-2022-025004 |
CVSS v3 7.5 (重要) |
Advanced Custom Fields 3.1.1から6.0.2 | Advanced Custom Fields 6.0.3 |
| CVE-2022-23183 JVNDB-2022-000023 |
CVSS v3 6.5 (警告) |
Advanced Custom Fields 5.12までのバージョン | Advanced Custom Fields 5.12.1 |
| CVE-2022-2594 JVNDB-2022-017104 |
CVSS v3 8.8 (重要) |
Advanced Custom Fields 5.12.2までのバージョン | Advanced Custom Fields 5.12.3 |
| CVE-2021-20867 JVNDB-2021-000109 |
CVSS v3 4.3 (警告) |
Advanced Custom Fields 5.10.2までのバージョン | Advanced Custom Fields 5.11 |
| CVE-2021-20866 JVNDB-2021-000109 |
CVSS v3 4.3 (警告) |
Advanced Custom Fields 5.10.2までのバージョン | Advanced Custom Fields 5.11 |
| CVE-2021-20865 JVNDB-2021-000109 |
CVSS v3 4.3 (警告) |
Advanced Custom Fields 5.10.2までのバージョン | Advanced Custom Fields 5.11 |
| CVE-2020-36172 JVNDB-2020-015419 |
CVSS v3 6.1 (警告) |
Advanced Custom Fields 5.8.11までのバージョン | Advanced Custom Fields 5.8.12 |
| CVE-2018-20986 JVNDB-2018-016014 |
CVSS v3 5.4 (警告) |
Advanced Custom Fields 5.7.7 | Advanced Custom Fields 5.7.8 |
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and
Exposures(本記事では「CVE」とします)の順序に従って掲載しています。JVN、NVDに未掲載の脆弱性情報についてはWordFenceの脆弱性情報へのリンクを掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS
v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。CVSS v3の適用前の脆弱性情報についてはCVSS v2に基づいて記載しています。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational
Vulnerability Database(以下「NVD」)に準拠しています。JVN、NVDに未掲載の脆弱性情報についてはWordFenceのスコアに準拠しています。
※本記事における脆弱性情報は、Advanced Custom Fieldsに関するものを掲載しています。 Advanced Custom Fields Proについては、CVE、JVN、NVDなどの情報をご確認ください。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。
Advanced Custom Fieldsのバージョンアップを継続する体制について
前述のように、Advanced Custom Fieldsは世界的に有名なプラグインであり、Web制作の現場でWordPressを利用する場合には、よくお世話になるプラグインです。
しかしながら、Advanced Custom Fields自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。
また、Advanced Custom FieldsとSecure Custom Fieldsに分かれたことで、そもそもどちらのプラグインを使用すべきかという選択を迫られるだけでなく、それぞれに脆弱性への対応が変わってくることになり、アップデートにも気を付ける必要があります。
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、Advanced Custom FieldsとWordPressはもちろんのこと、PHP、MySQL、MariaDBについてもノウハウを有しています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
Advanced Custom Fieldsを使用したWebサイト制作やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。
- この記事を書いた存在
- ちほうタイガー
taneCREATIVEに所属する謎のトラ。
- Advanced Custom FieldsとSecure Custom Fields に分かれるとしても、
Plugin DirectoryをSecure Custom Fieldsに変えるというのはどうなんだろう?
もう少し穏便な方法はなかったものか…などと思ったりもしましたが、
仮とは言え、一旦元の状態に戻ったようでほっとしています。
2024年12月23日改訂
2024年10月17日改訂
2024年10月08日執筆
