WordPress 2020年9月_脆弱性レポート  2020/10/19
2020年9月度のWordPressに関する脆弱性レポートをお知らせします。

9月度全体の脆弱性報告件数としては28件となっており、2020年8月度から17件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが2件、プラグインが26件でした。

本体に関しましては、今月は脆弱性が発生しませんでした。

テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。

最多発生はプラグインとなります。プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
前述のとおり本体に関しましては、脆弱性が発生しませんでした。

テーマに関しましては、2件脆弱性が発生しております。

該当するテーマについては、「脆弱性一覧」にて後述しております。

プラグインに関しましては先月から14件減少し、26件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。

以下、有名プラグインについて詳述します。

アクティブインストール100万以上、総ダウンロード数2371万以上の人気プラグイン『Ninja Forms』にCSRFの脆弱性が発生しております。

このプラグインは、お問い合わせフォームなどを作成するプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン3.4.27.1以上への更新によって塞ぐことができます。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

MetaSliderにてXSS
Email Subscribers & NewslettersにてACCESS CONTROLS
All In One WP Security & FirewallにてXSS
Sticky Menu, Sticky Header (or anything!) on Scroll にてXSS
NextScripts: Social Networks Auto-PosterにてACCESS CONTROLS
File ManagerにてUPLOAD

内容別レポート
脆弱性の内容別発生件数は、1位がXSSで10件、2位がOthersで6件、3位がCSRFで5件でした。
トピックス
XSSの発生件数が一番多く、その次にOthersやCSRFに関する脆弱性が多い傾向です。
脆弱性一覧
2020年9月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2020年9月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.

プラグイン
SQLI
Slider by 10Web
1.2.36未満

プラグイン
ACCESS CONTROLS
wp-courses
2.0.29未満

プラグイン
ACCESS CONTROLS
Simple:Press
6.6.1未満

プラグイン
ACCESS CONTROLS
Coditor
1.1以下

プラグイン
CSRF
Ninja Forms
3.4.27.1未満

プラグイン
RCE
XCloner Backup and Restore
4.2.1 – 4.2.12

プラグイン
CSRF
XCloner Backup and Restore
4.2.153未満

プラグイン
UPLOAD
Drag and Drop Multiple File Upload – Contact Form 7
2.7.7未満

プラグイン
XSS
MetaSlider
3.17.2未満

プラグイン
AUTHBYPASS
Discount Rules for WooCommerce
2.2.1未満

プラグイン
CSRF
WP Hotel Booking
1.10.2未満

プラグイン
XSS
Affiliate Manager
2.7.8未満

プラグイン
SQLI
10Web Social Post Feed
1.1.27未満

プラグイン
ACCESS CONTROLS
Email Subscribers & Newsletters
4.5.6未満

プラグイン
XSS
Elementor Addon Elements
1.6.4未満

プラグイン
XSS
Absolutely Glamorous Custom Admin
6.5.5未満

プラグイン
XSS
All In One WP Security & Firewall
4.4.4未満

プラグイン
XSS
Cookiebot
3.6.1未満

プラグイン
XSS
LearnPress
3.2.7.3未満

プラグイン
XSS
Sticky Menu, Sticky Header (or anything!) on Scroll
2.21未満

プラグイン
XSS
Asset CleanUp: Page Speed Booster
1.3.6.7未満

プラグイン
CSRF
ActiveCampaign
8.0.2未満

プラグイン
SQLI
Advanced Database Cleaner
3.0.2未満

プラグイン
XSS
Constant Contact Forms
1.8.8未満

プラグイン
ACCESS CONTROLS
NextScripts: Social Networks Auto-Poster
4.3.18未満

プラグイン
UPLOAD
File Manager
6.9未満

テーマ
SENSITIVE DATA DISCLOSURE
JobMonster
4.6.6.1未満

テーマ
CSRF
Huemanl
1.10.2未満