【2025年1月版】All-In-One Security (AIOS)のバージョンと脆弱性情報

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

本記事はAll-In-One Security (AIOS)のバージョンと脆弱性への対応状況についてまとめたもので、2025年1月20日に執筆しています。

All-In-One Securityは、WordPressサイト向けの包括的なセキュリティプラグインであり、WordPressのバックアッププラグインであるUpdraftPlusでも有名な、Updraft WP Software社とDavidAndersonさんによって開発・サポートされています。

WordPressのPlugin Directoryの統計情報によると、アクティブインストールは100万以上、総ダウンロード数は3117万回以上を計測しており、世界的にも有名なプラグインの一つと言ってよいでしょう。

一方で、人気が高いほど攻撃対象になるリスクもあるため、脆弱性への適切な対応が重要になります。
実際にAll-In-One Securityの脆弱性は過去見つかっており、迅速に対応されています。

この記事では、企業のWeb担当の皆様に向けて、All-In-One Securityの概要並びに、脆弱性及びその対応状況をご紹介することで、All-In-One Security自体については安心して使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

All-In-One Securityとは

前述の通り、All-In-One Securityは、Updraft WP Software社とDavidAndersonさんが開発・サポートを継続している、オープンソースのWordPress向けプラグインであり、ファイアウォール、マルウェアのスキャン、ログインのセキュリティ強化、スパム対策、ブルートフォース攻撃対策など、Webサイトを保護するための基本的な機能を実装することができます。

ユーザーフレンドリーなインターフェースを備えており、初心者でも簡単に設定・管理することができることから、世界的にも人気のあるプラグインとなっています。

一方で、利用者の多いプラグインは、攻撃のターゲットにされる可能性があるため、当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントにお勧めしていません。

All-In-One Securityについては、定期的にバージョンアップがされており、かつ最新バージョンでは脆弱性が確認されていないことから、2025年1月20日現在、セキュリティ面での問題はないと考えております。

All-In-One Securityのバージョン情報に関するポイント

All-In-One Securityは、通常のセマンティックバージョニングに近いバージョニングを採用しており、左からメジャーバージョン、マイナーバージョン、パッチバージョンの3つの数字で構成されています。

なお、一部の古いバージョンでは4桁目の数字が追加されていますが、これはセマンティックバージョニングの定義に従ったビルドメタデータやプレリリースではなく、追加の修正や同一日に複数のリリースを行った際に適用される、独自のバージョニング方式であると考えられます。

2025年1月20日現在、All-In-One Securityの最新バージョンは5.3.8であり、WordPress6.7.1までテストされています。

通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)対象は最新パッチバージョンのみであり、最新パッチバージョンへのアップデートを推奨いたします。

All-In-One Securityのバージョン情報

2025年1月20日現在での、All-In-One Securityのバージョン情報は次の通りです。

バージョン リリース日 サポート期限 修正された脆弱性
5.3.8 2024年12月16日 サポート中
5.3.7 2024年12月5日 2024年12月16日
5.3.6 2024年12月3日 2024年12月5日
5.3.5 2024年11月24日 2024年12月3日
5.3.4 2024年10月21日 2024年11月24日
5.3.3 2024年9月16日 2024年10月21日
5.3.2 2024年8月6日 2024年9月16日
5.3.1 2024年6月26日 2024年8月6日
5.3.0 2024年5月1日 2024年6月26日
5.2.9 2024年3月6日 2024年5月1日
5.2.8 2024年3月5日 2024年3月6日
5.2.7 2024年2月6日 2024年3月5日 CVE-2024-30468
5.2.6 2024年2月6日 2024年2月6日 CVE-2024-1037
5.2.5 2023年10月25日 2024年2月6日
5.2.0 2023年7月10日 2023年7月12日 Wordfence
5.1.5 2023年2月13日 2023年3月21日 CVE-2023-0157
CVE-2023-0156
5.1.3 2022年12月09日 2022年12月14日 CVE-2022-4346
5.1.1 2022年11月16日 2022年12月7日 CVE-2022-44737
Wordfence
5.0.8 2022年9月29日 2022年10月5日 CVE-2022-4097
Wordfence
4.4.11 2022年4月6日 2022年4月21日 CVE-2021-25102
4.4.6 2021年1月11日 2021年2月17日 CVE-2020-29171
4.4.4 2020年12月9日 2020年12月25日 Wordfence
4.2.0 2016年11月11日 2016年11月11日 CVE-2016-10866
4.1.3 2016年7月25日 2016年7月27日 Wordfence
4.0.9 2016年5月24日 2016年6月19日 CVE-2016-10887
4.0.7 2016年4月27日 2016年5月10日 CVE-2016-10888
4.0.6 2016年2月23日 2016年4月27日 CVE-2016-10867
4.0.5 2016年2月22日 2016年2月23日 CVE-2016-10868
3.9.8 2015年8月15日 2015年9月16日 CVE-2015-9293
3.9.5 2015年5月20日 2015年8月11日 CVE-2015-9294
3.9.1 2015年4月6日 2015年4月7日 CVE-2015-9310
3.8.8 2015年1月13日 CVE-2015-0894
3.8.3 2014年9月12日 2014年10月4日 CVE-2014-6242

※各バージョンのリリース日については、WordPress公式サイトの開発ログの情報に基づいています。
※上記の内容は、バージョン5.2.5までを掲載しています。また、それ以前のバージョンについては、下記脆弱性が修正されたバージョンを追記しています。
※バージョン5.2.6以下には既知の脆弱性が存在するため、グレーにしています。

All-In-One Securityの脆弱性情報

All-In-One Securityの最新バージョンは5.3.8であり、当社が把握している全ての脆弱性に修正対応済みとなっています。

また、All-In-One Security 5.2.6以下のバージョンをご使用の場合には、既知の脆弱性が存在する可能性がありますので、最新バージョンへのアップデートをお勧めします

特に、All-In-One Security 5.1.0以下のバージョンをご使用の場合には、重要レベルの脆弱性が存在する可能性がありますので、最新バージョンへのアップデートを強く推奨いたします

All-In-One Security自体に関する脆弱性情報で、当社が把握しているものは次の通りです。

脆弱性情報 深刻度 影響を受けるバージョン 修正されたバージョン
CVE-2024-30468
CVE-2024-30468 Detail
CVSS v3
4.3 (警告)
All-In-One Security 5.2.6までのバージョン All-In-One Security 5.2.7
CVE-2023-0157
JVNDB-2023-006973
CVSS v3
4.8 (警告)
All-In-One Security 5.1.4までのバージョン All-In-One Security 5.1.5
CVE-2023-0156
JVNDB-2023-026545
CVSS v3
4.9 (警告)
All-In-One Security 5.1.4までのバージョン All-In-One Security 5.1.5
CVE-2024-1037
JVNDB-2024-002594
CVSS v3
6.1 (警告)
All-In-One Security 5.2.5までのバージョン All-In-One Security 5.2.6
Wordfence CVSS v3
5.9 (警告)
All-In-One Security 5.1.9までのバージョン All-In-One Security 5.2.0
CVE-2022-44737
CVE-2022-44737 Detail
CVSS v3
8.8 (重要)
All-In-One Security 5.1.0までのバージョン All-In-One Security 5.1.1
CVE-2022-4346
JVNDB-2022-006152
CVSS v3
5.3 (警告)
All-In-One Security 5.1.2までのバージョン All-In-One Security 5.1.3
CVE-2022-4097
JVNDB-2022-023331
CVSS v3
5.3 (警告)
All-In-One Security 5.0.7までのバージョン All-In-One Security 5.0.8
Wordfence CVSS v3
8.8 (重要)
All-In-One Security 5.1.0までのバージョン All-In-One Security 5.1.1
Wordfence CVSS v3
6.5 (警告)
All-In-One Security 5.0.0から5.0.7 All-In-One Security 5.0.8
CVE-2021-25102
JVNDB-2022-010251
CVSS v3
4.7 (警告)
All In One WP Security & Firewall 4.4.10までのバージョン All In One WP Security & Firewall 4.4.11
CVE-2020-29171
JVNDB-2020-015890
CVSS v3
6.1 (警告)
All In One WP Security & Firewall 4.4.5までのバージョン All In One WP Security & Firewall 4.4.6
Wordfence CVSS v3
4.7 (警告)
All In One WP Security & Firewall 4.4.3までのバージョン All In One WP Security & Firewall 4.4.4
CVE-2016-10888
JVNDB-2019-007796
CVSS v3
9.8 (緊急)
All In One WP Security & Firewall 4.0.6までのバージョン All In One WP Security & Firewall 4.0.7
CVE-2016-10887
JVNDB-2019-007795
CVSS v3
9.8 (緊急)
All In One WP Security & Firewall 4.0.8までのバージョン All In One WP Security & Firewall 4.0.9
CVE-2016-10868
JVNDB-2019-007682
CVSS v3
6.1 (警告)
All In One WP Security & Firewall 4.0.4までのバージョン All In One WP Security & Firewall 4.0.5
CVE-2016-10867
JVNDB-2019-007637
CVSS v3
6.1 (警告)
All In One WP Security & Firewall 4.0.5までのバージョン All In One WP Security & Firewall 4.0.6
CVE-2016-10866
JVNDB-2019-007638
CVSS v3
6.1 (警告)
All In One WP Security & Firewall 4.1.9までのバージョン All In One WP Security & Firewall 4.2.0
Wordfence CVSS v3
5.3 (警告)
All In One WP Security & Firewall 4.1.2までのバージョン All In One WP Security & Firewall 4.1.3
CVE-2015-9310
JVNDB-2019-007800
CVSS v3
9.8 (緊急)
All In One WP Security & Firewall 3.9.0までのバージョン All In One WP Security & Firewall 3.9.1
CVE-2015-9294
JVNDB-2019-007700
CVSS v3
6.1 (警告)
All In One WP Security & Firewall 3.9.4までのバージョン All In One WP Security & Firewall 3.9.5
CVE-2015-9293
JVNDB-2019-007699
CVSS v3
6.1 (警告)
All In One WP Security & Firewall 3.9.7までのバージョン All In One WP Security & Firewall 3.9.8
CVE-2015-0894
JVNDB-2015-000037
CVSS v2
6.0 (警告)
All In One WP Security & Firewall 3.8.7までのバージョン All In One WP Security & Firewall 3.8.8
CVE-2014-6242
JVNDB-2014-004988
CVSS v2
6.5 (警告)
All In One WP Security & Firewall 3.8.2までのバージョン All In One WP Security & Firewall 3.8.3

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。CVEの採番がされていない脆弱性情報については、Wordfenceへのリンクを掲載してあります。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。CVSS v3の適用前の脆弱性情報についてはCVSS v2に基づいて記載しています。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)に準拠しています。JVN、NVDにてスコアリングされていない脆弱性情報についてはWordFenceのスコアに準拠しています。
※All In One WP Security & FirewallはAll-In-One Securityの旧名であり、同一のプラグインです。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

All-In-One Securityのバージョンアップを継続する体制について

前述のように、All-In-One Securityは世界的にも人気のあるプラグインであり、Web制作の現場でWordPressを利用する場合には、お世話になる確率が高いプラグインです。

しかしながら、All-In-One Security自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、All-In-One SecurityとWordPressはもちろんのこと、PHP、MySQL、MariaDBについてもノウハウを有しています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

All-In-One Securityを使用したWebサイト制作やアップデートを含む保守・管理に関しては、こちらのお問合せよりお気軽にご相談ください。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。