WordPress 2021年1月_脆弱性レポート  2021/2/27
2021年1月度のWordPressに関する脆弱性レポートをお知らせします。

1月度全体の脆弱性報告件数としては44件となっており、2020年12月度から18件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが0件、プラグインが44件でした。

本体およびテーマに関しまして、今月は脆弱性が発生しておりません。

プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。

プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
プラグインに関しましては先月から20件増加し、44件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。

以下、有名プラグインについて詳述します。

一つ目に、アクティブインストール500万以上、総ダウンロード数9千万以上の人気プラグイン『Elementor』にXSSの脆弱性が発生しております。

このプラグインは、WordPressの専用のページビルダープラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン3.0.14以上への更新によって塞ぐことができます。

二つ目に、アクティブインストール100万以上、総ダウンロード数2千万以上の人気プラグイン『Advanced Custom Fields』にXSSの脆弱性が発生しております。

このプラグインは、管理画面上でカスタムフィールドを作成することが可能なプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン5.8.12以上への更新によって塞ぐことができます。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

Under ConstructionにてXSS
Contact Form 7 Database AddonにてSQLI,CSV INJECTION
Orbit Fox by ThemeIsleにてXSS,PRIVESC

内容別レポート
脆弱性の内容別発生件数は、1位がXSSで14件、2位がACCESS CONTROLSで10件、3位がSQLiで6件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2021年1月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2021年1月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.

プラグイン
SQLI
Modern Events Calendar Lite
5.16.6未満

プラグイン
UPLOAD
Modern Events Calendar Lite
5.16.5未満

プラグイン
ACCESS CONTROLS
Modern Events Calendar Lite
5.16.5未満

プラグイン
XSS
Modern Events Calendar Lite
5.16.5未満

プラグイン
UPLOAD
Super Forms
4.9.703未満

プラグイン
ACCESS CONTROLS
uListing
1.7未満

プラグイン
ACCESS CONTROLS
uListing
1.7未満

プラグイン
ACCESS CONTROLS
uListing
1.7未満

プラグイン
ACCESS CONTROLS
uListing
1.7未満

プラグイン
ACCESS CONTROLS
uListing
1.7未満

プラグイン
SQLI
uListing
1.7未満

プラグイン
SENSITIVE DATA DISCLOSURE
uListing
1.7未満

プラグイン
CSV INJECTION
Contact Form 7 Database Addon
1.2.5.6未満

プラグイン
ACCESS CONTROLS
Doneren met Mollie
2.8.5未満

プラグイン
SQLI
Contact Form 7 Database Addon
1.2.5.4未満

プラグイン
REDIRECT
Digital Climate Strike WP
1.0.0以下

プラグイン
XSS
Under Construction
3.86未満

プラグイン
XSS
Stockdio Historical Chart
2.8.1未満

プラグイン
UPLOAD
123ContactForm for WordPress
1.5.6以下

プラグイン
BYPASS
123ContactForm for WordPress
1.5.6以下

プラグイン
BYPASS
123ContactForm for WordPress
1.5.6以下

プラグイン
UPLOAD
e-signature
1.5.6.8未満

プラグイン
XSS
WP Shieldon
1.63以下

プラグイン
SQLI
301 Redirects
2.51未満

プラグイン
TRAVERSAL
Simple Job Board
2.9.4未満

プラグイン
XSS
FV Flowplayer Video Player
7.4.38.727未満

プラグイン
XSS
Easy Contact Form Pro
1.1.1.9未満

プラグイン
ACCESS CONTROLS
Elementor Contact Form DB
1.6未満

プラグイン
CSRF
Elementor Contact Form DB
1.6未満

プラグイン
PRIVESC
Orbit Fox by ThemeIsle
2.10.3未満

プラグイン
XSS
Orbit Fox by ThemeIsle
2.10.3未満

プラグイン
ACCESS CONTROLS
WP Quick FrontEnd Editor
5.5以下

プラグイン
CONTENT INJECTION
WP Quick FrontEnd Editor
5.5以下

プラグイン
XSS
Custom Global Variables
1.0.5以下

プラグイン
OBJECT INJECTION
Modal Survey
2.0.1.8.2未満

プラグイン
ACCESS CONTROLS
Modal Survey
2.0.1.8.2未満

プラグイン
XSS
Modal Survey
2.0.1.8.2未満

プラグイン
XSS
WP24 Domain Check
1.6.3未満

プラグイン
XSS
Advanced Custom Fields
5.8.12未満

プラグイン
XSS
Elementor
3.0.14未満

プラグイン
XSS
Stripe Payments
2.0.40未満

プラグイン
XSS
WP Paginate
2.1.4未満

プラグイン
SQLI
Contact Form Submissions
1.6.4未満

プラグイン
SQLI
Contact Form Submissions
1.6.4未満