2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性

　独立行政法人情報処理推進機構（IPA）は4月17日、2024年第1四半期（1月から3月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。

　同期間にJVN iPedia日本語版へ登録された脆弱性対策情報は12,699件で、累計登録件数が206,571件となった。内訳は、国内製品開発者から収集したもの5件（公開開始からの累計は280件）、JVNから収集したもの684件（累計15,239件）、NVDから収集したもの12,010件（累計191,052件）となっている。

　件数が多かった脆弱性は、「CWE-79（クロスサイトスクリプティング：XSS）」2,198件、「CWE-787（境界外書き込み）」 891件、「CWE-89（SQLインジェクション）」876件、「CWE-352（クロスサイト・リクエスト・フォージェリ）」611件、「CWE-862（認証の欠如）」が328件などとなっている。

　製品別登録状況では、1位に「Qualcomm component（クアルコム）」2,889件、2位に「Android（Google）」521件、3位に「macOS（アップル）」292件、4位に「Fedora（Fedora Project）」236件、5位に「Linux Kernel（Linux）」203件であった。

　2024年にJVN iPediaに登録した脆弱性対策情報は、深刻度別にレベル3が全体の4.2%、レベル2が66.0%、レベル1が29.8%で、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が70.2％を占めている。なお、JVN iPediaの情報収集元であるNVDではCVSSv2の評価を積極的に行っていないため、2024年はJVN iPediaにおけるCVSSv2の登録件数が大幅に減少している。

　アクセスの多かったJVN iPediaの脆弱性対策情報は、1位に「WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性」、2位に「キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の境界外書き込みの脆弱性」、3位に「WordPress 用プラグイン MW WP Form に任意のファイルをアップロードされる脆弱性」、4位に「SKYSEA Client View における複数の脆弱性」、5位に「The JForum Team の Jforum におけるクロスサイトリクエストフォージェリの脆弱性」となっている。