WordPress 2019年6月_脆弱性レポート  2019/7/22
2019年6月度のWordPressに関する脆弱性レポートをお知らせします。

6月度全体の脆弱性報告件数としては93件となっており、2019年5月度から57件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが0件、プラグインが93件でした。

本体に関しまして、今月は脆弱性が発生しませんでした。

テーマに関しましても、今月は脆弱性が発生しませんでした。

最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。

トピックス
前述のとおり本体、テーマに関しましては、脆弱性が発生しませんでした。

 

 

プラグインに関しましては先月から59件増加し、93件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。

 

1つ目は、アクティブインストール100万以上、総ダウンロード数1873万以上の人気プラグイン『Ninja Forms』にXSSやSQLIなど複数の脆弱性が発生しております。

このプラグインは、お問い合わせフォームを簡単に作成できるプラグインです。

お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン3.3.21.3以上への更新によって塞ぐことができます。
(※2019年7月22日現在の最新版はバージョン3.4.16ですので、こちらの最新版への更新をお勧めします。)

 

2つ目は、アクティブインストール100万以上、総ダウンロード数1244万以上の人気プラグイン『Advanced Custom Fields』にOBJECTINJECTIONの脆弱性が発生しております。

このプラグインは、「カスタムフィールド」の細かい設定ができるプラグインです。

お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン5.7.12以上への更新によって塞ぐことができます。
(※2019年7月22日現在の最新版はバージョン5.8.2ですので、こちらの最新版への更新をお勧めします。)

 

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

Loco TranslateにてLFI
Instagram FeedにてUNKNOWN
PolylangにてCSRF
WP StatisticsにてXSS
WP Google MapsにてCSRF

内容別レポート
脆弱性の内容別発生件数は、1位がXSSで36件、2位がCSRFで24件、3位がその他で12件でした。

トピックス
5月度と比較してみると、脆弱性の発生件数が2倍以上増加しております。

また、今月もXSSの脆弱性が一番発生しており、十分に注意が必要です。
脆弱性一覧
2019年6月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。

脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2019年6月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.

プラグイン
XSS
Support Board
1.2.8

プラグイン
CSRF
WebP Converter for Media
1.0.2

プラグイン
MULTI
ConvertPlus
3.4.4

プラグイン
CSRF
Deny All Firewall
1.1.6

プラグイン
CSRF
Facebook for WooCommerce
1.9.12

プラグイン
MULTI
Online Accessibility
2.0.10

プラグイン
LFI
Sina Extension For Elementor
2.2.0

プラグイン
XSS
GA Backend Tracking
1.2

プラグイン
CSRF
Messenger Customer Chat
1.2

プラグイン
XSS
PWA for WP
1.0.8

プラグイン
CSRF
WebP Express
0.14.10

プラグイン
XSS
WebP Express
0.14.4

プラグイン
XSS
Seo by Rank Math
1.0.26

プラグイン
BYPASS
Seo by Rank Math
1.0.27

プラグイン
MULTI
Ads for WP
1.5

プラグイン
CSRF
Ads For WP
1.8

プラグイン
XSS
Easy Pdf Restaurant Menu Upload
1.1.1

プラグイン
LFI
Revamp CRM for WooCommerce
1.0.3

プラグイン
CSRF
WP Better Permalinks
3.0.4

プラグイン
XSS
CF7 Invisible reCaptcha
1.3.1

プラグイン
MULTI
Dropshix
4.0.11

プラグイン
XSS
Share This Image
1.19

プラグイン
UPLOAD
Finale WooCommerce Sale Countdown
2.9.0

プラグイン
CSRF
Block WP Login
1.3.0

プラグイン
UNKNOWN
Real Estate Manager
6.7.1

プラグイン
CSRF
ACF Better Search
3.3.0

プラグイン
RCE
Simple Link Directory
5.5.0

プラグイン
SQLI
LoginPress
1.1.13

プラグイン
SQLI
Companion Auto Update
3.3.5

プラグイン
CSRF
Companion Auto Update
3.2.0

プラグイン
LFI
Companion Auto Update
3.2.0

プラグイン
XSS
Advanced Woo Search
1.68

プラグイン
CSRF
Advanced Woo Search
1.68

プラグイン
XSS
WD Instagram Feed
1.3.0

プラグイン
XSS
Add Any Extension to Pages
1.3

プラグイン
XSS
Enhanced Plugin Admin
1.15

プラグイン
CSRF
User Email Verification for WooCommerce
3.3.0

プラグイン
AUTHBYPASS
Charitable
1.5.13

プラグイン
CSRF
SAML SP SSO
4.8.70

プラグイン
XSS
SAML SP SSO
4.8.72

プラグイン
MULTI
Spots.IM Comments
3.0.0

プラグイン
XSS
Custom 404 Pro
3.2.8

プラグイン
XSS
WP SpreadPlugin
3.8.6

プラグイン
XSS
Plugin Info Card
2.3.6

プラグイン
CSRF
Simple Add Pages or Posts
1.6

プラグイン
XSS
RSS Includes Pages
3.6

プラグイン
CSRF
Related YouTube Video
1.9.8

プラグイン
XSS
Related YouTube Video
1.9.8

プラグイン
XSS
Real Time Find and Replace
3.8

プラグイン
UNKNOWN
MyBookTable
2.1.4

プラグイン
UPLOAD
IP Address Blocker
10.3

プラグイン
LFI
InPost Gallery
2.1.2

プラグイン
XSS
InPost Gallery
2.1.2

プラグイン
XSS
FG PrestaShop for WooCommerce
3.19.0

プラグイン
MULTI
Crelly Slider
1.1.1

プラグイン
UPLOAD
Crelly Slider
1.3.4

プラグイン
XSS
Breadcrumbs by menu
1.0.1

プラグイン
CSRF
Breadcrumbs by menu
1.0.1

プラグイン
OBJECTINJECTION
Blog2Social
5.0.0

プラグイン
XSS
WP Ultimate Recipe
3.12.6

プラグイン
CSRF
WP Ultimate CSV Importer
5.6

プラグイン
CSRF
Widget Logic
5.9.0

プラグイン
RCE
Widget Logic
5.9.0

プラグイン
XSS
Watu Quizz
3.1.2.5

プラグイン
UPLOAD
User Submitted Posts
20190426

プラグイン
MULTI
Social Media & Share Icons
2.1.7

プラグイン
XSS
Max Mega Menu
2.3.8

プラグイン
LFI
Loco Translate
2.2.1

プラグイン
UNKNOWN
Instagram Feed
1.11.3

プラグイン
XSS
Import users from CSV with meta
1.14.0.2

プラグイン
CSRF
Import users from CSV with meta
1.14.0.2

プラグイン
XSS
Import users from CSV with meta
1.14.1.2

プラグイン
CSRF
Import users from CSV with meta
1.14.1.3

プラグイン
XSS
FG Joomla to WordPress
3.30.0

プラグイン
XSS
Easy Digital Downloads
2.9.15

プラグイン
XSS
CP Contact Form with Paypal
1.3.01

プラグイン
CSRF
Affiliates Manager
2.6.5

プラグイン
XSS
360 Product Rotation
1.4.7

プラグイン
XSS
Ninja Forms
3.3.21

プラグイン
SQLI
Ninja Forms
3.3.21

プラグイン
CSRF
WP Google Maps
7.11.27

プラグイン
XSS
Slideshow Gallery
1.6.8

プラグイン
SQLI
Slideshow Gallery
1.6.8

プラグイン
REDIRECT
Paid Memberships Pro
2.0.5

プラグイン
CSRF
Polylang
2.5

プラグイン
LFI
Photo Gallery
1.5.24

プラグイン
XSS
Photo Gallery
1.5.22

プラグイン
CSRF
WP-Members
3.2.7

プラグイン
MULTI
Download Manager
2.9.96

プラグイン
XSS
Shortlinks by Pretty Links
2.1.9

プラグイン
CSVI
Shortlinks by Pretty Links
2.1.9

プラグイン
XSS
WP Statistics
12.6.5

プラグイン
OBJECTINJECTION
Advanced Custom Fields
5.7.0