WordPress 2020年7月_脆弱性レポート  2020/8/7
2020年7月度のWordPressに関する脆弱性レポートをお知らせします。

7月度全体の脆弱性報告件数としては42件となっており、2020年6月度から15件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが17件、プラグインが25件でした。

本体に関しましては、今月は脆弱性が発生しませんでした。

テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。

最多発生はプラグインとなります。プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

トピックス

前述のとおり本体に関しましては、脆弱性が発生しませんでした。

 

 

テーマに関しましては、17件脆弱性が発生しております。

該当するテーマについては、「脆弱性一覧」にて後述しております。

 

プラグインに関しましては先月から10件増加し、25件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。

 

以下、2件のプラグインについて詳述します。

1つ目は、アクティブインストール300万以上、総ダウンロード数4937万以上の人気プラグイン『WPForms』にXSSの脆弱性が発生しております。

このプラグインは、欲しい機能をドラッグ & ドロップで追加できるコンタクトフォームプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン1.6.0.2以上への更新によって塞ぐことができます。
(※2020年8月6日現在の最新版はバージョン1.6.1ですのでこちらの最新版への更新を推奨します。)

 

2つ目は、アクティブインストール200万以上、総ダウンロード数6970万以上の人気プラグイン『All in One SEO Pack』にXSSの脆弱性が発生しております。

このプラグインは、基礎的なSEO対策が一括して管理できるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン3.6.2以上への更新によって塞ぐことができます。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

NewsletterにてXSS
Form Maker by 10WebにてXSS
KingComposerにてXSS
Email Subscribers & NewslettersにてCSRFとSQLI

内容別レポート
脆弱性の内容別発生件数は、1位がXSSで31件、2位がSQLiで4件、3位がOthersで3件でした。

トピックス
XSSの発生件数が一番多く、二番目にSQLiと、例月通りの傾向です。
脆弱性一覧
2020年7月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2020年7月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.

プラグイン
XSS
Gallery PhotoBlocks
1.2.0未満

プラグイン
XSS
Quiz And Survey Master
7.0.0未満

プラグイン
UPLOAD
Comments – wpDiscuz
7.0.0 – 7.0.4

プラグイン
XSS
WooCommerce Subscriptions
2.6.3未満

プラグイン
CSRF
JobSearch
1.2.10未満

プラグイン
CSRF
Social Sharing Plugin
1.2.10未満

プラグイン
XSS
TC Custom JavaScript
1.2.2未満

プラグイン
CSRF
Email Subscribers & Newsletters
4.5.1未満

プラグイン
SQLI
Email Subscribers & Newsletters
4.5.1未満

プラグイン
XSS
All in One SEO Pack
3.6.2未満

プラグイン
AUTHBYPASS
Email Verification for WooCommerce
1.8.2未満

プラグイン
XSS
SendPress Newsletter
1.20.7.13未満

プラグイン
XSS
Form Maker by 10Web
1.13.40未満

プラグイン
XSS
Newsletter
6.7.7未満

プラグイン
XSS
WP-Live Chat by 3CX
8.2.0未満

プラグイン
SQLI
SRS Simple Hits Counter
1.0.4以下

プラグイン
XSS
KingComposer
2.9.5未満

プラグイン
XSS
Knight Lab Timeline
3.7.0.0未満

プラグイン
XSS
Powie’s WHOIS Domain Check
0.9.33未満

プラグイン
INJECTION
Wise Chat
2.8.4未満

プラグイン
ACCESS CONTROLS
Adning Advertising
1.5.6未満

プラグイン
MULTI
Security & Malware scan by CleanTalk
2.51未満

プラグイン
XSS
Testimonials Widget
3.5.1以下

プラグイン
SQLI
Payment Form For Paypal Pro
1.1.65未満

プラグイン
XSS
WPForms
1.6.0.2未満

テーマ
XSS
JobCareer
3.5未満

テーマ
XSS
Reality
2.5.6未満

テーマ
XSS
CarePlus
1.2以下

テーマ
XSS
Real Estate 7
3.0.4未満

テーマ
XSS
Careerfy
4.4.0以下

テーマ
XSS
Golo
1.3.3未満

テーマ
XSS
Findgo
1.3.32未満

テーマ
XSS
Findus
1.1.15未満

テーマ
XSS
Jetapo
1.1未満

テーマ
XSS
Kormosala
1.0.23未満

テーマ
XSS
Prolisting
1.27未満

テーマ
XSS
Workio
1.0.3未満

テーマ
XSS
Workup
2.1.6未満

テーマ
XSS
InJob
3.4.1未満

テーマ
SQLI
Traveler
2.8.4未満

テーマ
XSS
Monalisa
2.1.3未満

テーマ
XSS
Careerup
2.3.1未満