- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年10月11日に執筆しています。
今回はCustom Field Suiteのバージョンと脆弱性への対応状況についてまとめてみたいと思います。
Custom Field Suiteは、WordPressサイトの管理画面にカスタムフィールドを簡単に追加・管理できるプラグインであり、Matt Gibbsによって開発・サポートされてきました。
このCustom Field Suiteは、無料であるにも関わらず、繰り返しフィールドを使える点で人気がありましたが、2024年8月20日にWordPressの公式リポジトリから削除されました。
理由は明確ではありませんが、多くの脆弱性が発見されていたことから、対応が難しくなったためであると推測されています。
そこで、この記事では、企業のWeb担当の皆様に向けて、Custom Field Suiteの脆弱性情報とその対応状況をご紹介することで、ご使用になられているCustom Field Suiteの問題を把握していただけるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
Custom Field Suiteの最終バージョンは2.6.7であり、下記の通り多くの脆弱性が未修正のままとなっています。
また、Custom Field Suiteをご使用の場合には、全てのバージョンで既知の脆弱性が存在しますので、削除をしてください。
なお、Custom Field Suite自体に関する脆弱性情報で、当社が把握しているものは次の通りです。
脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
CVE-2024-3562 JVNDB-2024-004382 |
CVSS v3 8.8 (重要) |
・Custom Field Suite 2.6.7までのバージョン | ・修正されていません |
CVE-2024-3561 JVNDB-2024-004383 |
CVSS v3 8.8 (重要) |
・Custom Field Suite 2.6.7までのバージョン | ・修正されていません |
CVE-2024-3559 CVE-2024-3559 Detail |
CVSS v3 6.4 (警告) |
・Custom Field Suite 2.6.7までのバージョン | ・修正されていません |
CVE-2024-3558 JVNDB-2024-004159 |
CVSS v3 5.4 (警告) |
・Custom Field Suite 2.6.7までのバージョン | ・修正されていません |
CVE-2024-3068 CVE-2024-3068 Detail |
CVSS v3 4.4 (警告) |
・Custom Field Suite 2.6.5までのバージョン | ・Custom Field Suite 2.6.6 |
CVE-2024-0689 CVE-2024-0689 Detail |
CVSS v3 4.4 (警告) |
・Custom Field Suite 2.6.4までのバージョン | ・Custom Field Suite 2.6.5 |
CVE-2023-32515 JVNDB-2023-010852 |
CVSS v3 4.8 (警告) |
・Custom Field Suite 2.6.2.1までのバージョン | ・Custom Field Suite 2.6.3 |
CVE-2019-11871 JVNDB-2019-004471 |
CVSS v3 5.4 (警告) |
・Custom Field Suite 2.5.14までのバージョン | ・Custom Field Suite 2.5.15 |
Wordfence | CVSS v3 6.3 (警告) |
・Custom Field Suite 2.4までのバージョン | ・Custom Field Suite 2.4.1 |
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。なお、CVEの採番がなされていない脆弱性情報については、Wordfenceの該当ページへのリンクを掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)に準拠しています。ただし、NVDに記載がない場合、Wordfenceのスコアを記載しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVD、Wordfenceなどの情報を確認されたうえで、自己責任でご利用ください。
前述のように、Custom Field Suiteは2024年8月20日をもってWordPress公式リポジトリから完全に削除されました。
そのため、Custom Field Suiteが使用されているWordPressサイトは、複数の重要レベルの脆弱性を有していることになり、また、今後未改修の脆弱性が修正されることは期待できない状態となっています。
Webサイトのセキュリティを確保するために、速やかに代替プラグインであるAdvanced Custom Fieldsへの移行が推奨されます。
Advanced Custom Fieldsはカスタムフィールド機能を提供するプラグインであり、現在も活発に開発・保守が行われています。
参考:Advanced Custom Fieldsのバージョンと脆弱性情報
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、Custom Field SuiteとWordPressはもちろんのこと、PHP、MySQL、MariaDBについてもノウハウを有しています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
Custom Field Suiteを使用したWordPressサイトのセキュリティ対策に関しては、こちらのお問合せよりお気軽にご相談ください。
taneCREATIVEに所属する謎のトラ。