WordPress 2021年2月_脆弱性レポート  2021/3/30
2021年2月度のWordPressに関する脆弱性レポートをお知らせします。

2月度全体の脆弱性報告件数としては53件となっており、2021年1月度から9件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが1件、プラグインが52件でした。

本体に関しまして、今月は脆弱性が発生しておりません。

プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。

プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
プラグインに関しましては先月から8件増加し、52件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。

以下、有名プラグインについて詳述します。

一つ目に、アクティブインストール100万以上、総ダウンロード数2千万以上の人気プラグイン『Ninja Forms』にCSRF、REDIRECTおよび、SENSITIVE DATA DISCLOSUREの脆弱性が発生しております。

このプラグインは、WordPressのお問合せフォーム、申込みフォーム作成プラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン3.4.34以上への更新によって塞ぐことができます。

二つ目に、アクティブインストール90万以上、総ダウンロード数1千万以上の人気プラグイン『All In One WP Security & Firewall』にXSSの脆弱性が発生しております。

このプラグインは、WordPressで必要なセキュリティ対策を包括的に実装できるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン4.4.6以上への更新によって塞ぐことができます。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

Photo Gallery by 10webにてXSS
Responsive MenuにてUPLOAD,CSRF
Paid Membership ProにてACCESS CONTROLS
Popup BuilderにてXSS

内容別レポート
脆弱性の内容別発生件数は、1位がXSSで16件、2位がCSRFで12件、3位がSQLiで8件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2021年2月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2021年2月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.

プラグイン
SSRF
Under Construction, Coming Soon & Maintenance Mode
1.1.2未満

プラグイン
XSS
Under Construction, Coming Soon & Maintenance Mode
1.1.2未満

プラグイン
XSS
NextGEN Gallery Pro
3.1.11未満

プラグイン
SENSITIVE DATA DISCLOSURE
Web-Stat
1.4.1未満

プラグイン
XSS
Photo Gallery by 10web
1.5.69未満

プラグイン
RCE
YITH WooCommerce Gift Cards Premium
3.3.1未満

プラグイン
RCE
QuadMenu
2.0.7未満

プラグイン
CSRF
WP Content Plus
3.2未満

プラグイン
XSS
Testimonial Rotator
3.0.3以下

プラグイン
UPLOAD
Backup Guard
1.6.0未満

プラグイン
CSRF
eCommerce Product Catalog
3.0.18未満

プラグイン
CSRF
Better Search
2.5.3未満

プラグイン
CSRF
Process Steps Template Designer
1.3未満

プラグイン
CSRF
Custom Banners
3.3未満

プラグイン
CSRF
Ninja Forms
3.4.34未満

プラグイン
REDIRECT
Ninja Forms
3.4.34未満

プラグイン
SENSITIVE DATA DISCLOSURE
Ninja Forms
3.4.34未満

プラグイン
SENSITIVE DATA DISCLOSURE
Ninja Forms
3.4.34未満

プラグイン
XSS
Zebra_Form Library
2.9.8以下

プラグイン
FILE DOWNLOAD
Theme Editor
2.6未満

プラグイン
CSRF
Post SMTP Mailer/Email Log
2.0.21未満

プラグイン
XSS
All In One WP Security & Firewall
4.4.6未満

プラグイン
UPLOAD
Responsive Menu
4.0.0 – 4.0.3

プラグイン
CSRF
Responsive Menu
4.0.4未満

プラグイン
CSRF
Responsive Menu
4.0.4未満

プラグイン
ACCESS CONTROLS
Map Block for Google Maps
1.32未満

プラグイン
XSS
NextGen Gallery
3.1.11未満

プラグイン
CSRF
NextGen Gallery
3.5.0未満

プラグイン
SQLI
Ultimate Maps by Supsystic
1.1.17未満

プラグイン
SQLI
Pricing Table by Supsystic
1.8.9未満

プラグイン
XSS
Pricing Table by Supsystic
1.9.0未満

プラグイン
SQLI
Newsletter by Supsystic
1.5.6以下

プラグイン
SQLI
Membership by Supsystic
1.5.0以下

プラグイン
XSS
Digital Publications by Supsystic
1.6.11以下

プラグイン
TRAVERSAL
Digital Publications by Supsystic
1.6.12未満

プラグイン
SQLI
Data Tables Generator by Supsystic
1.10.0未満

プラグイン
XSS
Data Tables Generator by Supsystic
1.10.1未満

プラグイン
SQLI
Contact Form by Supsystic
1.7.11未満

プラグイン
XSS
Contact Form by Supsystic
1.7.7未満

プラグイン
TRAVERSAL
Backup by Supsystic
2.3.9以下

プラグイン
XSS
WP Amour
1.5.7未満

プラグイン
SQLI
Welcart e-Commerce
2.1.1未満

プラグイン
ACCESS CONTROLS
Paid Membership Pro
2.5.3未満

プラグイン
SSRF
Like Button Rating
2.6.32未満

プラグイン
ACCESS CONTROLS
Ultimate GDPR & CCPA Compliance Toolkit
2.5未満

プラグイン
CSRF
Name Directory
1.18未満

プラグイン
CSRF
Contact Form 7 Style
3.1.9以下

プラグイン
XSS
Photo Gallery by 10Web
1.5.68未満

プラグイン
XSS
Popup Builder
3.74未満

プラグイン
AUTHBYPASS
MStore API
3.2.0未満

プラグイン
SQLI
WP Editor
1.2.7未満

プラグイン
XSS
Ivory Search
4.5.11未満

テーマ
XSS
Wyzi
2.4.3未満