WordPress 2020年12月_脆弱性レポート  2021/1/25
2020年12月度のWordPressに関する脆弱性レポートをお知らせします。

12月度全体の脆弱性報告件数としては26件となっており、2020年11月度から5件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが2件、プラグインが24件でした。

本体に関しまして、今月は脆弱性が発生しておりません。

テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。

最多発生はプラグインとなります。プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
テーマに関しましては、2件脆弱性が発生しております。

該当するテーマについては、「脆弱性一覧」にて後述しております。

プラグインに関しましては先月から4件減少し、24件の脆弱性が発見されました。そのうち4件の有名プラグインに脆弱性が発見されております。

以下、有名プラグインについて詳述します。

一つ目に、アクティブインストール500万以上、総ダウンロード数1億以上の人気プラグイン『Contact Form 7』にUPLOADの脆弱性が発生しております。

このプラグインは、複数のコンタクトフォームを管理でき、その上フォームとメールの内容を簡単なマークアップで柔軟にカスタマイズできるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン5.3.2以上への更新によって塞ぐことができます。

二つ目に、アクティブインストール100万以上、総ダウンロード数1千万以上の人気プラグイン『LiteSpeed Cache』にXSSの脆弱性が発生しております。

このプラグインは、LiteSpeed Webサーバーで利用できるキャッシュ機能プラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン3.6.1以上への更新によって塞ぐことができます。

三つ目に、アクティブインストール100万以上、総ダウンロード数1千万以上の人気プラグイン『Redux Framework』にCSRFの脆弱性が発生しております。

このプラグインは、WordPressのための拡張可能な、完全レスポンシブのオプションフレームワークプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン4.1.24以上への更新によって塞ぐことができます。

四つ目に、アクティブインストール100万以上、総ダウンロード数1千万以上の人気プラグイン『Limit Login Attempts Reloaded』にXSSおよびBYPASSの脆弱性が発生しております。

このプラグインは、ログイン回数に制限を付けて一定の回数に失敗するとログイン手続きをさせない機能のあるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン2.17.4以上への更新によって塞ぐことができます。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

Easy WP SMTPにてSENSITIVE DATA DISCLOSURE
PagelayerにてXSS
Envira Gallery LiteにてXSS

内容別レポート
脆弱性の内容別発生件数は、1位がXSSで11件、2位がCSRFとACCESS CONTROLSで4件、3位がSQLiで2件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2020年12月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2020年12月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.

プラグイン
CSRF
Site Offline
1.4.4未満

プラグイン
OBJECT INJECTION
Newsletter Manager
1.5.1以下

プラグイン
XSS
LiteSpeed Cache
3.6.1未満

プラグイン
XSS
WP Postratings
1.86.1未満

プラグイン
XSS
Envira Gallery Lite
1.8.3.3未満

プラグイン
XSS
Simple Social Buttons
3.2.1未満

プラグイン
XSS
Simple Social Buttons
3.2.0未満

プラグイン
UPLOAD
Contact Form 7
5.3.2未満

プラグイン
CSRF
Redux Framework
4.1.22 – 4.1.23

プラグイン
CSRF
Redux Framework
4.1.21未満

プラグイン
XSS
Limit Login Attempts Reloaded
2.16.0未満

プラグイン
BYPASS
Limit Login Attempts Reloaded
2.17.4未満

プラグイン
ACCESS CONTROLS
Total Upkeep by BoldGrid
1.14.10未満

プラグイン
ACCESS CONTROLS
Total Upkeep by BoldGrid
1.14.10未満

プラグイン
XSS
Directories Pro
1.3.46未満

プラグイン
XSS
Directories Pro
1.3.46未満

プラグイン
CSRF
Ultimate Category Excluder
1.2未満

プラグイン
XSS
Pagelayer
1.3.5未満

プラグイン
SQLI
DiveBook
1.1.4以下

プラグイン
XSS
DiveBook
1.1.4以下

プラグイン
ACCESS CONTROLS
DiveBook
1.1.4以下

プラグイン
SENSITIVE DATA DISCLOSURE
Easy WP SMTP
1.4.3以下

プラグイン
XSS
Themify Portfolio Post
1.1.6以下

プラグイン
SQLI
Profile Builder & Profile Builder Pro
3.3.3未満

テーマ
SENSITIVE DATA DISCLOSURE
ListingPro
2.6.1以下

テーマ
ACCESS CONTROLS
ListingPro
2.6.1以下