【2024年11月版】VK All in One Expansion Unitのバージョンと脆弱性情報

皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年11月18日に執筆しています。

今回はVK All in One Expansion Unitのバージョンと脆弱性への対応状況についてまとめてみたいと思います。

VK All in One Expansion Unitは、WordPressサイトにおいて、SEO対策、SNS連携、カスタム投稿タイプの作成、ウィジェットの強化などの機能を追加する統合型プラグインであり、ベクトル社によって開発・サポートされています。

WordPressのPlugin Directoryの統計情報によると、アクティブインストールは10万以上、総ダウンロード数594万回以上を計測しており、人気のあるプラグインの一つと言ってよいでしょう。

一方で、人気のあるプラグインであるため、攻撃対象になりやすい側面もあります。

そこで、この記事では、企業のWeb担当の皆様に向けて、VK All in One Expansion Unitの概要並びに、脆弱性及びその対応状況をご紹介することで、VK All in One Expansion Unitを安心して使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

VK All in One Expansion Unitとは

前述の通り、VK All in One Expansion Unitは、日本のベクトル社によって開発・サポートが継続されている、オープンソースのWordPress向けプラグインです。

このプラグインを使用すると、SEO対策、SNS連携、カスタム投稿タイプの作成、ウィジェットの強化などを実現できます。

しかしながら、実際のところ、当社のようなWeb制作会社の場合、VK All in One Expansion Unitを利用することはあまりありません。

VK All in One Expansion Unitは多機能で便利ですが、独自の要件やデザインに合わせた細かなカスタマイズが難しい場合がありますし、多機能なプラグインは、その分コードが複雑になり、サイトの読み込み速度に影響を及ぼす可能性があります。

セキュリティ保守の観点からは、できるだけプラグインの数を増やしたくないという理由もありますし、最近頻繁に脆弱性が見つかっている点も使いにくい理由になります。

しかしながら、当社がこれまでに保守を引き受けたWordPressサイトには、VK All in One Expansion Unitが使用されていたことはあります。

日本国内ではよく使用されているプラグインの一つという印象です。

VK All in One Expansion Unitの機能

VK All in One Expansion Unitは日本のベクトル社が開発・サポートをされておりますので、機能については、公式サイトをご覧ください。
※VK All in One Expansion Unitの公式サイトの「ExUnit とは」のページ

開発・アップデートの継続

前述のように、有名なプラグイン(ダウンロード数が多いプラグイン)は、攻撃のターゲットとして狙われやすいという側面があります。

当社では、WordPress自体は非常に堅牢なCMSであり、バージョンアップをしっかりと行えば大きな侵入のリスクは少ないと考えています。
実際に、WordPress本体(コア)の脆弱性の数はプラグインやテーマに比べて少なく、特に最近では緊急レベルの脆弱性報告は減少しています。
※詳細は、当社が公表しているWordPressの脆弱性情報一覧を参照してください。

一方で、膨大な数のプラグインやアドオンが存在し、それらの脆弱性を狙った攻撃が増加しています。
※「20 WordPress Statistics You Should Know in 2023」によれば、WordPressに関連する脆弱性の約90%はプラグインに、6%はテーマに、残りの4%はWordPressコアに起因しているとのことです。

特に、VK All in One Expansion Unitのようなダウンロード数の多いプラグインは、多くのユーザーに利用されているため狙われやすい傾向にあります。
そのため、当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントに推奨していません。

VK All in One Expansion Unitは定期的にアップデートされ、脆弱性が迅速に修正されているため、最新バージョンを使用している限り一応問題はないと考えております。
ただし、2024年11月13日に採番されたCVE-2024-52268、2024年7月10日に採番されたCVE-2024-37956、2024年3月26日に採番されたCVE-2024-2093、2024年3月25日に採番されたCVE-2024-2170など、近年頻繁に脆弱性が発見されていることから、VK All in One Expansion Unitをご利用になられている場合には、本記事にてご利用のバージョンが問題ないか確認されることを推奨いたします。

VK All in One Expansion Unitのバージョン情報に関するポイント

公式サイトに直接的な記載は見つけることができませんでしたが、VK All in One Expansion Unitでは、一般的なセマンティックバージョニングとは異なる4桁のバージョニングが採用されているようです。

2024年11月18日現在、VK All in One Expansion Unitの最新バージョンは9.100.5.0であり、WordPress 6.7までテストされています。

通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)対象は最新パッチバージョンのみであることから、最新パッチバージョンへのアップデートを推奨いたします。

バージョン9.100.0.1以下には既知の脆弱性があるため、最新のパッチバージョンへのアップデートを実施してください。

VK All in One Expansion Unitのバージョン情報

2024年11月18日現在での、VK All in One Expansion Unitのバージョン情報は次の通りです。

バージョン リリース日 サポート期限 修正された脆弱性
9.100.5.0 2024年11月14日 サポート中
9.100.4.1 2024年11月13日 2024年11月14日
9.100.4.0 2024年11月13日 2024年11月13日
9.100.3.2 2024年11月13日 2024年11月13日
9.100.3.1 2024年11月13日 2024年11月13日
9.100.3.0 2024年11月13日 2024年11月13日
9.100.2.1 2024年11月12日 2024年11月13日
9.100.2.0 2024年11月12日 2024年11月12日
9.100.1.1 2024年11月5日 2024年11月12日
9.100.1.0 2024年11月5日 2024年11月5日 CVE-2024-52268
9.100.0.1 2024年10月31日 2024年11月5日
9.100.0.0 2024年10月31日 2024年10月31日
9.99.2.0 2024年7月31日 2024年7月31日 CVE-2024-37956
9.97.0.0 2024年3月25日 2024年3月25日 CVE-2024-2170
9.96.0.0 2024年3月14日 2024年3月14日 CVE-2024-2093
9.88.2.0 2023年4月7日 2023年5月24日 CVE-2023-28367
CVE-2023-27926
9.87.1.0 2023年2月22日 2023年3月7日 CVE-2023-0937
9.86.0.0 2023年2月3日 2023年2月3日 CVE-2023-0230

※上記の内容は、WordPress公式サイトの開発ログの情報を正として、バージョン9.100.0.0までを掲載しています。また、9.100.0.0未満のバージョンについては、下記脆弱性が修正されたバージョンを追記しています。
※バージョン9.100.0.1以下には既知の脆弱性が存在するため、グレーにしています。

VK All in One Expansion Unitの脆弱性情報

VK All in One Expansion Unitの最新バージョンは9.100.5.0であり、当社が把握している全ての脆弱性に修正対応済みとなっています。

また、VK All in One Expansion Unit 9.100.0.1以下のバージョンをご使用の場合には、既知の脆弱性が存在している可能性がありますので、最新バージョンへとアップデートをしてください。

なお、VK All in One Expansion Unit自体に関する脆弱性情報で、当社が把握しているものは次の通りです。

脆弱性情報 深刻度 影響を受けるバージョン 修正されたバージョン
CVE-2024-52268
JVNDB-2024-000118
CVSS v3
4.8(警告)
・VK All in One Expansion Unit 9.100.0.1までのバージョン ・VK All in One Expansion Unit 9.100.1.0
CVE-2024-37956
JVNDB-2024-007034
CVSS v3
5.4(警告)
・VK All in One Expansion Unit 9.99.1.0までのバージョン ・VK All in One Expansion Unit 9.99.2.0
CVE-2024-2170
CVE-2024-2170 Detail
CVSS v3
6.4 (警告)
・VK All in One Expansion Unit 9.96.0.1までのバージョン ・VK All in One Expansion Unit 9.97.0.0
CVE-2024-2093
CVE-2024-2093 Detail
CVSS v3
6.5 (警告)
・VK All in One Expansion Unit 9.95.0.1までのバージョン ・VK All in One Expansion Unit 9.96.0.0
CVE-2023-28367
JVNDB-2023-000045
CVSS v3
5.4 (警告)
・VK All in One Expansion Unit 9.88.1.0までのバージョン ・VK All in One Expansion Unit 9.88.2.0
CVE-2023-27926
JVNDB-2023-000045
CVSS v3
5.4 (警告)
・VK All in One Expansion Unit 9.88.1.0までのバージョン ・VK All in One Expansion Unit 9.88.2.0
CVE-2023-0937
JVNDB-2023-026587
CVSS v3
6.1 (警告)
・VK All in One Expansion Unit 9.87.0.1までのバージョン ・VK All in One Expansion Unit 9.87.1.0
CVE-2023-0230
JVNDB-2023-004414
CVSS v3
5.4 (警告)
・VK All in One Expansion Unit 9.85.0.1までのバージョン ・VK All in One Expansion Unit 9.86.0.0

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)や独立行政法人情報処理推進機構(以下「IPA」)に準拠していますが、NVD、IPAにてスコアリングされていない場合には、Wordfenceのスコアに準拠しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVD、Wordfenceなどの情報を確認されたうえで、自己責任でご利用ください。

VK All in One Expansion Unitのバージョンアップを継続する体制について

前述のように、VK All in One Expansion Unitは人気のあるプラグインであり、日本国内でも利用者は多数いるものと推察されます。

しかしながら、VK All in One Expansion Unit自体のバージョンアップをしようと思っても、最新のWordPressで上手く動かなかったり、PHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、VK All in One Expansion UnitとWordPressはもちろんのこと、PHP、MySQL、MariaDBについても知見を有しています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

VK All in One Expansion Unitを使用したWebサイト制作やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。