- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。
本記事はSecure Custom Fieldsのバージョンと脆弱性への対応状況についてまとめたもので、2024年12月23日に改訂しています。
Secure Custom Fieldsは、WordPressサイトの管理画面にカスタムフィールドを簡単に追加・管理できるプラグインであり、WordPress.orgによって開発・サポートされています。
元々は、Advanced Custom FieldsというプラグインをWP Engine社が開発・サポートしていたのですが、WP Engine社とWordPressのホスティングサービス(WordPress.com)を提供しているAutomattic社の関係悪化から、2024年10月頃、WordPress公式サイト(WordPress.org)におけるAdvanced Custom FieldsのPlugin Directoryが、WordPress.orgが開発・サポートをするSecure Custom Fieldsに変更されました。
一方で、Advanced Custom Fieldsの開発・サポートをしているWP Engine社は、別にAdvanced Custom Fieldsの公式サイトを立ち上げて、開発とサポートを継続すると公表しており、現在でもSecure Custom Fieldsとは別にアップデートをしています。
この時点での、Secure Custom FieldsとAdvanced Custom Fieldsの関係をまとめると、次のようになります。
プラグイン名称 | 開発・サポート組織 | 公式サイト | 説明 |
Advanced Custom Fields | WP Engine社 | https://www.advancedcustomfields.com/ | 本家本元のAdvanced Custom Fields |
Secure Custom Fields | WordPress.org | https://ja.wordpress.org/plugins/advanced-custom-fields/ | Advanced Custom Fieldsのフォーク |
その後、2024年12月10日に、カリフォルニア北部地区連邦地方裁判所において、WPEngineからAutomatticに対する仮差し止め命令処分判決が出されたようです。
この仮差し止め命令処分判決により、両社が訴訟を継続している間は2024年9月20日以前の状態が維持されることになったとのこと。
※当社はアメリカの司法手続きについては詳しくない為、詳細については、こちらのGigaZINEの記事をご確認ください。
その結果、Secure Custom Fieldsに変更されていたAdvanced Custom Fields のPlugin Directoryは、元通りAdvanced Custom Fieldsに戻り、Secure Custom Fieldsは別のPlugin Directoryを開設した模様です。
2024年12月23日時点での、Advanced Custom FieldsとSecure Custom Fieldsの関係をまとめると、次のようになります。
プラグイン名称 | 開発・サポート組織 | 公式サイト | 説明 |
Advanced Custom Fields | WP Engine社 | https://www.advancedcustomfields.com/ https://ja.wordpress.org/plugins/advanced-custom-fields/ |
本家本元のAdvanced Custom Fields |
Secure Custom Fields | WordPress.org | https://wordpress.org/plugins/secure-custom-fields/ | Advanced Custom Fieldsのフォーク |
Secure Custom Fields は、世界的に有名なプラグインであるAdvanced Custom Fieldsのフォークではありますが、この一連の騒動も含めて、非常に知名度の高いプラグインであると言えるかもしれません。
一方で、知名度の高いプラグインであるため、攻撃対象になりやすい側面もあることから、クライアントから脆弱性に関する質問を受けることがよくあります。
今回の分裂により、今後バージョンアップも二つに分かれていくことになり、影響は非常に大きなものであると考えられます。
この記事では、企業のWeb担当の皆様に向けて、Secure Custom Fieldsの概要並びに、脆弱性及びその対応状況をご紹介することで、セキュリティ面ではSecure Custom Fieldsを安心して使用していただけるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
前述の通り、Secure Custom Fieldsは、WordPress.orgが開発・サポートを継続している、オープンソースのWordPress向けプラグインです。
Secure Custom Fieldsは、WordPressの投稿ページや固定ページ、カテゴリ、コメント欄などへ入力欄(フィールド)を追加し管理できるプラグインであり、特定のコンテンツにデータを簡単に組み込むことができるようになります。
また、直感的なUIでの実装が可能で、運用段階でも使用しやすいことが特長です。
基本フィールド |
主にテキストや数値などを直接入力・管理できるフィールドです。 種類は「テキスト」「テキストエリア」「数値」「Range」「メール」「URL」「パスワード」の7種類です。 |
コンテンツフィールド |
WordPressのデフォルトのエディタと同様のエディタを追加・管理できるフィールドです。 種類は「画像」「ファイル」「Wysiwyg エディタ」「oEmbed」の4種類です。 |
選択肢フィールド |
セレクトボックスやチェックボックスなど、選択肢を入力項目に追加・管理できるフィールドです。 種類は「Select」「チェックボックス」「ラジオボタン」「Button Group」「真 / 偽」の5種類です。 |
関連フィールド |
WordPress上での投稿記事や固定ページなどの情報を取得し、入力項目として設定することができるフィールドです。 種類は「Link」「投稿オブジェクト」「ページリンク」「関連」「タクソノミー」「ユーザー」の6種類です。 |
Advancedフィールド |
主にjQueryやjQuery UI,API等で制御するGoogleマップや日付選択などを追加・管理できるフィールドです。 種類は「Googleマップ」「日付選択ツール」「日時選択ツール」「時間選択ツール」「カラーピッカー」の5種類です。 |
レイアウト調整機能 |
追加したフィールドタイプのレイアウトを変更し、ユーザビリティを向上させる機能です。 種類は「メッセージ」「Accordion」「タブ」「Group」の4種類です。 |
前述のように、有名なプラグイン(ダウンロード数が多いプラグイン)は、攻撃のターゲットとして狙われやすいという側面があります。
当社では、WordPress自体は非常に堅牢なCMSであり、バージョンアップをしっかりと行えば大きな侵入のリスクは少ないと考えています。
実際に、WordPress本体(コア)の脆弱性の数はプラグインやテーマに比べて少なく、特に最近では緊急レベルの脆弱性報告は減少しています。
※詳細は、当社が公表しているWordPressの脆弱性情報一覧を参照してください。
一方で、膨大な数のプラグインやアドオンが存在し、それらの脆弱性を狙った攻撃が増加しています。
※「20 WordPress Statistics You Should Know in 2023」によれば、WordPressに関連する脆弱性の約90%はプラグインに、6%はテーマに、残りの4%はWordPressコアに起因しているとのことです。
特に、Secure Custom Fieldsのような有名なプラグインは、多くのユーザーに利用されているため狙われる傾向にあります。
そのため、当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントに推奨していません。
Secure Custom Fieldsについては、定期的にバージョンアップがなされていること、また、過去脆弱性が見つかっていますが、WordPress.orgによって脆弱性にも迅速に対応されていることから、2024年12月23日現在、セキュリティ面での問題はないと考えております。
公式サイトに直接的な記載はありませんが、Secure Custom Fieldsは、通常のセマンティックバージョニングに近いバージョニングを採用しており、左からメジャーバージョン、マイナーバージョン、パッチバージョンの3つの数字で構成されています。
なお、一部のバージョンでは4桁目の数字が追加されていますが、これはセマンティックバージョニングの定義に従ったビルドメタデータやプレリリースではなく、追加の修正や同一日に複数のリリースを行った際に適用される、独自のバージョニング方式であると考えられます。
2024年12月23日現在、Secure Custom Fieldsの最新バージョンは6.4.1-beta4であり、WordPress6.7.1までテストされています。
通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)対象は最新パッチバージョンのみであり、最新パッチバージョンへのアップデートを推奨いたします。
2024年12月23日現在での、Secure Custom Fieldsのバージョン情報は次の通りです(6.4.0、6.4.1はbeta版であるため記載を見送っています)。
バージョン | リリース日 | サポート期限 | 修正された脆弱性 |
6.3.10.2 | 2024年10月29日 | サポート中 | 権限昇格・CSRF攻撃に関する脆弱性 |
6.3.9 | 2024年10月22日 | 2024年10月29日 | - |
6.3.6.3 | 2024年10月15日 | 2024年10月22日 | CVE-2024-49593 CVE-2024-9529 |
6.3.6.2 | 2024年10月12日 | 2024年10月15日 | - |
6.3.6.1 | 2024年10月7日 | 2024年10月12日 | - |
6.3.6 | 2024年8月28日 | 2024年10月7日 | CVE-2024-45429 |
6.3.0 | 2024年5月22日 | 2024年6月4日 | CVE-2024-4565 |
6.2.5 | 2024年1月16日 | 2024年2月6日 | CVE-2023-6701 |
6.1.8 | 2023年8月3日 | 2023年8月9日 | CVE-2023-40068 |
6.1.6 | 2023年5月4日 | 2023年6月27日 | CVE-2023-30777 |
6.1.0 | 2023年4月3日 | 2023年4月3日 | CVE-2023-1196 |
6.0.3 | 2022年10月18日 | 2022年11月8日 | CVE-2022-40696 |
5.12.5 | 2023年4月4日 | 2023年5月4日 | CVE-2023-1196 |
5.12.3 | 2022年7月14日 | 2022年10月18日 | CVE-2022-2594 |
5.12.1 | 2022年3月23日 | 2022年4月6日 | CVE-2022-23183 |
5.11 | 2021年11月10日 | 2021年11月18日 | CVE-2021-20867 CVE-2021-20866 CVE-2021-20865 |
5.8.12 | 2020年6月10日 | 2020年8月10日 | CVE-2020-36172 |
5.7.8 | 2018年12月7日 | 2018年12月17日 | CVE-2018-20986 |
※各バージョンのリリース日については、WordPress公式サイトの開発ログの情報に基づいています。
※上記の内容は、バージョン6.3.6までを掲載しています。また、それ以前のバージョンについては、下記脆弱性が修正されたバージョンを追記しています。
※バージョン6.3.6.2以下には既知の脆弱性が存在するため、グレーにしています。
Secure Custom Fieldsの最新バージョンは6.4.1-beta4であり、当社が把握している全ての脆弱性に修正対応済みとなっています。
また、Secure Custom Fields 6.3.6.2以下のバージョンをご使用の場合には、既知の脆弱性が存在する可能性がありますので、最新バージョンへとアップデートをしてください。
なお、Secure Custom Fieldsの変更履歴(現在はPlugin Directoryの移転により見えなくなっています)によると、バージョン6.3.10.2で、権限昇格攻撃とCSRF攻撃に対するセキュリティ対策が施されているようです。
この2点の脆弱性については当社では情報を把握できていませんが、公開されてはいないがWordPress.orgは把握している脆弱性である可能性があります。
そのため、6.3.10.2以降へのバージョンアップを推奨いたします。
Secure Custom Fields自体に関する脆弱性情報で、当社が把握しているものは次の通りです。
脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
CVE-2024-49593 CVE-2024-49593 detail |
CVSS v3 4.4 (警告) |
Secure Custom Fields 6.3.6.2までのバージョン | Secure Custom Fields 6.3.6.3 |
CVE-2024-9529 CVE-2024-9529 Detail |
CVSS v3 5.1 (警告) |
・Secure Custom Fields 6.3.6.2までのバージョン | ・Secure Custom Fields 6.3.6.3 |
CVE-2024-45429 JVNDB-2024-000093 |
CVSS v3 5.4 (警告) |
・Advanced Custom Fields 6.3.5までのバージョン | ・Advanced Custom Fields 6.3.6 |
CVE-2024-4565 JVNDB-2024-004371 |
CVSS v3 6.5 (警告) |
・Advanced Custom Fields 6.2.10までのバージョン | ・Advanced Custom Fields 6.3 |
CVE-2023-40068 JVNDB-2023-000084 |
CVSS v3 5.4 (警告) |
・Advanced Custom Fields 6.1.0 から 6.1.7 | ・Advanced Custom Fields 6.1.8 |
CVE-2023-30777 JVNDB-2023-010231 |
CVSS v3 6.1 (警告) |
・Advanced Custom Fields 6.1.5までのバージョン | ・Advanced Custom Fields 6.1.6 |
CVE-2023-6701 JVNDB-2023-025942 |
CVSS v3 5.4 (警告) |
・Advanced Custom Fields 6.2.4までのバージョン | ・Advanced Custom Fields 6.2.5 |
CVE-2023-1196 JVNDB-2023-026740 |
CVSS v3 8.8 (重要) |
・Advanced Custom Fields 6.0.0から6.0.7 ・Advanced Custom Fields 5.0.0から5.12.4 |
・Advanced Custom Fields 6.1.0 Advanced Custom Fields 5.12.5 |
CVE-2022-40696 JVNDB-2022-025004 |
CVSS v3 7.5 (重要) |
・Advanced Custom Fields 3.1.1から6.0.2 | ・Advanced Custom Fields 6.0.3 |
CVE-2022-23183 JVNDB-2022-000023 |
CVSS v3 6.5 (警告) |
・Advanced Custom Fields 5.12までのバージョン | ・Advanced Custom Fields 5.12.1 |
CVE-2022-2594 JVNDB-2022-017104 |
CVSS v3 8.8 (重要) |
・Advanced Custom Fields 5.12.2までのバージョン | ・Advanced Custom Fields 5.12.3 |
CVE-2021-20867 JVNDB-2021-000109 |
CVSS v3 4.3 (警告) |
・Advanced Custom Fields 5.10.2までのバージョン | ・Advanced Custom Fields 5.11 |
CVE-2021-20866 JVNDB-2021-000109 |
CVSS v3 4.3 (警告) |
・Advanced Custom Fields 5.10.2までのバージョン | ・Advanced Custom Fields 5.11 |
CVE-2021-20865 JVNDB-2021-000109 |
CVSS v3 4.3 (警告) |
・Advanced Custom Fields 5.10.2までのバージョン | ・Advanced Custom Fields 5.11 |
CVE-2020-36172 JVNDB-2020-015419 |
CVSS v3 6.1 (警告) |
・Advanced Custom Fields 5.8.11までのバージョン | ・Advanced Custom Fields 5.8.12 |
CVE-2018-20986 JVNDB-2018-016014 |
CVSS v3 5.4 (警告) |
・Advanced Custom Fields 5.7.7 | ・Advanced Custom Fields 5.7.8 |
※Secure Custom FieldsはAdvanced Custom Fields 6.3.6.1以降に分岐したフォークです。そのため、6.3.6以下の脆弱性についてはAdvanced Custom Fieldsとして記載しています。
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。CVSS v3の適用前の脆弱性情報についてはCVSS v2に基づいて記載しています。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)に準拠しています。JVN、NVDにてスコアリングされていない脆弱性情報についてはWordFenceのスコアに準拠しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。
前述のように、Secure Custom Fieldsは世界的に有名なプラグインであり、Web制作の現場でWordPressを利用する場合には、よくお世話になるプラグインです。
しかしながら、Secure Custom Fields自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。
また、Advanced Custom FieldsとSecure Custom Fieldsに分かれたことで、そもそもどちらのプラグインを使用すべきかという選択を迫られるだけでなく、それぞれに脆弱性への対応が変わってくることになり、アップデートにも気を付ける必要があります。
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、Secure Custom FieldsとWordPressはもちろんのこと、PHP、MySQL、MariaDBについてもノウハウを有しています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
Secure Custom Fieldsを使用したWebサイト制作やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。
taneCREATIVEに所属する謎のトラ。
2024年12月23日改訂
2024年10月18日執筆