WordPress 2020年6月_脆弱性レポート  2020/7/9
2020年6月度のWordPressに関する脆弱性レポートをお知らせします。

6月度全体の脆弱性報告件数としては27件となっており、2020年5月度から4件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が6件、テーマが6件、プラグインが15件でした。

本体に関しまして、今月は脆弱性が発生しております。
2020年4月以来の発生となります。

テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。

最多発生はプラグインとなります。プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

トピックス
前述のとおり本体に関しましては、脆弱性が6件発生しております。

バージョン5.4.1以下において複数の脆弱性が確認されています。

すでに対策バージョン5.4.2がセキュリティ&メンテナンスリリースされており、23件のバグ修正やセキュリティ強化が施されました。

(参照リンク:WordPress 5.4.2)

対策版に関しましては下表のとおりです。

現在ご利用のバージョン
対策済みバージョン

3.7~3.7.33
3.7.34

3.8~3.8.33
3.8.34

3.9~3.9.31
3.9.32

4.0~4.0.30
4.0.31

4.1~4.1.30
4.1.31

4.2~4.2.27
4.2.28

4.3~4.3.23
4.3.24

4.4~4.4.22
4.4.23

4.5~4.5.21
4.5.22

4.6~4.6.18
4.6.19

4.7~4.7.17
4.7.18

4.8~4.8.13
4.8.14

4.9~4.9.14
4.9.15

5.0~5.0.1
5.0.10

5.1~5.1.5
5.1.6

5.2~5.2.6
5.2.7

5.3~5.3.3
5.3.4

5.4~5.4.1
5.4.2

 

 

テーマに関しましては、6件脆弱性が発生しております。

該当するテーマについては、「脆弱性一覧」にて後述しております。

すべて対策バージョンがすでに公開されており、対策されたバージョン以上に更新することによって対策することができます。

 

 

プラグインに関しましては先月から15件減少し、15件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。

 

以下、2件のプラグインについて詳述します。

1つ目は、アクティブインストール500万以上、総ダウンロード数9416万以上の人気プラグイン『WooCommerce』にXSSの脆弱性が発生しております。

このプラグインは、EC機能を追加できるプラグインです。

お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン4.2.1以上への更新によって塞ぐことができます。
(※2020年7月9日現在の最新版はバージョン4.2.2ですのでこちらの最新版への更新を推奨します。)

 

2つ目は、アクティブインストール100万以上、総ダウンロード数6135万以上の人気プラグイン『Elementor Page Builder』にXSSの脆弱性が発生しております。

このプラグインは、固定ページやランディングページの作成に便利なプラグインです。

お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン2.9.10以上への更新によって塞ぐことができます。
(※2020年7月9日現在の最新版はバージョン2.9.13ですのでこちらの最新版への更新を推奨します。)

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

Coming Soon Page, Under Construction & Maintenance Mode by SeedProdにてPRIVESC
YITH WooCommerce Ajax Product FilterにてSQLI
KingComposerにてXSS

内容別レポート
脆弱性の内容別発生件数は、1位がXSSで17件、2位がSQLiとCSRFで3件、3位がPRIVESCで2件でした。

トピックス
XSSの発生件数が一番多く、二番目にSQLiと、例月通りの傾向です。
脆弱性一覧
2020年6月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2020年6月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.

本体
XSS
block editor
5.4.2未満

本体
XSS
media files
5.4.2未満

本体
XSS
Open Redirection
5.4.2未満

本体
XSS
theme uploads
5.4.2未満

本体
SENSITIVE DATA DISCLOSURE
Disclosure of Password-Protected Page/Post Comments
5.4.2未満

本体
PRIVESC
Misuse of set-screen-option Leading to Privilege Escalation
5.4.2未満

プラグイン
XSS
JobSearch
1.5.1未満

プラグイン
SQLI
AdRotate
5.8.4未満

プラグイン
XSS
Elementor Page Builder
2.9.10未満

プラグイン
XSS
SportsPress
2.7.2未満

プラグイン
PRIVESC
Brizy – Page Builder
1.0.126未満

プラグイン
SQLI
wpDiscuz
5.3.6未満

プラグイン
XSS
KingComposer
2.9.4未満

プラグイン
CSRF
Delete All Comments Easily
1.3以下

プラグイン
XSS
Testimonial Rotator
3.0.3未満

プラグイン
CSRF
All in One Support Button
1.8.8未満

プラグイン
XSS
YITH WooCommerce Ajax Product Filter
3.11.1未満

プラグイン
CSRF
WP-Pro-Quiz
0.37以下

プラグイン
XSS
WooCommerce
4.2.1未満

プラグイン
XSS
Coming Soon Page, Under Construction & Maintenance Mode by SeedProd
5.1.2未満

プラグイン
SENSITIVE DATA DISCLOSURE
ACF to REST API
3.3.0未満

テーマ
XSS
Careerfy
3.9.0未満

テーマ
XSS
Newspaper
10.3.4未満

テーマ
XSS
Travel Booking
2.8.2未満

テーマ
XSS
TownHub
1.3.0未満

テーマ
XSS
CityBook
2.4.4未満

テーマ
SQLI
Nexos – Real Estate
1.8未満