WordPress 2020年8月_脆弱性レポート  2020/9/28
2020年8月度のWordPressに関する脆弱性レポートをお知らせします。

8月度全体の脆弱性報告件数としては45件となっており、2020年7月度から3件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが7件、プラグインが38件でした。

本体に関しましては、今月は脆弱性が発生しませんでした。

テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。

最多発生はプラグインとなります。プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
前述のとおり本体に関しましては、脆弱性が発生しませんでした。

テーマに関しましては、7件脆弱性が発生しております。

該当するテーマについては、「脆弱性一覧」にて後述しております。

プラグインに関しましては先月から13件増加し、38件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。

以下、有名プラグインについて詳述します。

アクティブインストール100万以上、総ダウンロード数1544万以上の人気プラグイン『Autoptimize』にUPLOADの脆弱性が発生しております。

このプラグインは、CSSやJSなどのリソースを軽量・最適化するプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン2.7.7以上への更新によって塞ぐことができます。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

FooGalleryにてXSS
Advanced Access ManagerにてBYPASS
Ultimate MemberにてREDIRECT
Add From ServerにてTRAVERSAL
CMP – Coming Soon & MaintenanceにてACCESS CONTROLS
NewsletterにてXSS

内容別レポート
脆弱性の内容別発生件数は、1位がXSSで28件、2位がOthersで5件、3位がRCEとSQLIで3件でした。
トピックス
XSSの発生件数が一番多く、その次にACCESS CONTROLSやUPLOADに関する脆弱性が多い傾向です。
脆弱性一覧
2020年8月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2020年8月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.

プラグイン
XSS
Bulk Change
1.0以下

プラグイン
XSS
Ceceppa Multilingu
1.5.17以下

プラグイン
USQLI
Recall Products
0.8以下

プラグイン
XSS
Subscribe Sidebar
1.3.1以下

プラグイン
XSS
WP Floating Menu
1.4.1未満

プラグイン
XSS
WP Smart CRM & Invoices FREE
1.8.7以下

プラグイン
UPLOAD
Quiz and Survey Master
7.0.2未満

プラグイン
XSS
FooGallery
1.9.25未満

プラグイン
UPLOAD
Autoptimize
2.7.7未満

プラグイン
SQLI
RSVPMaker
7.8.2未満

プラグイン
ACCESS CONTROLS
Contact Form – Form builder by Kali Forms
2.1.2未満

プラグイン
BYPASS
WooCommerce – NAB Transact
2.1.2未満

プラグイン
BYPASS
Advanced Access Manager
6.6.2未満

プラグイン
MULTI
Discount Rules for WooCommerce
2.1.0未満

プラグイン
XSS
WP Customer Reviews
3.4.3未満

プラグイン
XSS
Change WordPress Login Logo
1.1.4以下

プラグイン
XSS
Click to Top
1.2.7以下

プラグイン
XSS
Elegant Testimonial
1.1.6以下

プラグイン
XSS
Internal Links Manager
2.0.2以下

プラグイン
XSS
Easy Media Download
1.1.5未満

プラグイン
XSS
NextGEN Gallery Sell Photo
1.0.4以下

プラグイン
MULTI
Security & Malware scan by CleanTalk
2.51未満

プラグイン
XSS
Responsive Lightbox2
1.0.3未満

プラグイン
XSS
Sell Photo
1.0.5以下

プラグイン
XSS
Colorbox Lightbox
1.1.2以下

プラグイン
XSS
Fancy Lightbox
1.0.2未満

プラグイン
XSS
Sell Media
2.4.2未満

プラグイン
REDIRECT
Ultimate Member
2.1.7未満

プラグイン
TRAVERSAL
Add From Server
3.3.3以下

プラグイン
XSS
Admin Menu
1.1以下

プラグイン
SQLI
Cardoza WordPress Poll
36以下

プラグイン
XSS
RSS Feed Widget
2.8.1未満

プラグイン
XSS
Ultimate Appointment Booking & Scheduling
1.1.10未満

プラグイン
XSS
Very Simple Quiz
1.0.0以下

プラグイン
ACCESS CONTROLS
CMP – Coming Soon & Maintenance
3.8.2未満

プラグイン
ACCESS CONTROLS
The Official WordPress Facebook Chat Plugin
1.6未満

プラグイン
RCE
Elegant Themes(Divi Builder)
2.0 – 4.5.2

プラグイン
XSS
Newsletter
6.8.2未満

プラグイン
ACCESS CONTROLS
Product Input Fields for WooCommerce
1.2.7未満

テーマ
SQLI
Geo Magazine
2.0 以下

テーマ
XSS
Home Villas
2.2以下

テーマ
XSS
Nova Lite
1.3.9未満

テーマ
XSS
Konzept
2.5未満

テーマ
XSS
FoodBakery
2.0未満

テーマ
XSS
Elegant Themes(Divi)
3.0 – 4.5.2

テーマ
XSS
Elegant Themes(Extra)
2.0 – 4.5.2