WordPress 2019年3月_脆弱性レポート 2019/4/5
2019年3月度のWordPressに関する脆弱性レポートをお知らせします。
3月度全体の脆弱性報告件数としては24件となっており、2019年2月度から13件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が1件、テーマが0件、プラグインが23件でした。
本体に関しまして、今月は脆弱性が発生しております。
先月以来の発生となります。
テーマに関しましては、今月は脆弱性が発生しませんでした。
また、最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。
トピックス
前述のとおり本体に関しましては、脆弱性が1件発生しております。
ブログにて速報しております通り、バージョン5.1以下においてXSSが発生する可能性があります。
すでに対策バージョン5.1.1がセキュリティ&メンテナンスリリースされており、14個の修正および機能強化が導入されました。
(参照リンク:WordPress 5.1.1 Security and Maintenance Release)
対策版に関しましては下表のとおりです。
| 現在ご利用のバージョン | 対策済みバージョン |
| 3.9~3.9.26 | 3.9.27 |
| 4.0~4.0.25 | 4.0.26 |
| 4.1~4.1.25 | 4.1.26 |
| 4.2~4.2.22 | 4.2.23 |
| 4.3~4.3.18 | 4.3.19 |
| 4.4~4.4.17 | 4.4.18 |
| 4.5~4.5.16 | 4.5.17 |
| 4.6~4.6.13 | 4.6.14 |
| 4.7~4.7.12 | 4.7.13 |
| 4.8~4.8.8 | 4.8.9 |
| 4.9~4.9.9 | 4.9.10 |
| 5.0~5.0.3 | 5.0.4 |
| 5.1 | 5.1.1 |
テーマに関しましては、脆弱性が発生しませんでした。
プラグインに関しましては先月から14件増加し、23件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。
1つ目は、アクティブインストール90万以上、総ダウンロード数983万以上の人気プラグイン『WP Fastest Cache』にWebサイトに対するデータの損失とDoS攻撃を招く可能性がある脆弱性が発生しております。
このプラグインは、サイトの表示速度を改善するキャッシュ系のプラグインです。
お使いの方も多いと思いますので、すぐにバージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン0.8.9.1以上への更新によって塞ぐことができます。
(※2019年4月5日現在の最新版はバージョン0.8.9.2ですのでこちらの最新版への更新をお勧めします。)
2つ目は、アクティブインストール50万以上、総ダウンロード数633万以上の人気プラグイン『SG Optimizer』にTRAVERSALの脆弱性が発生しております。
このプラグインは、HTTPSを強制したり、PHPバージョンを切り替えたり、画像を最適化したりできるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン5.0.13以上への更新によって塞ぐことができます。
(※2019年4月5日現在の最新版はバージョン5.1.2ですのでこちらの最新版への更新をお勧めします。)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- WP Google MapsにてXSS
- Easy WP SMTPにてAUTHBYPASS
- Contact Form EmailにてXSS
- NextScriptsにてXSS
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで13件、2位がその他で3件、3位がCSRFとBYPASSで2件ずつでした。
トピックス
2月度と比較してみると、全体的に脆弱性の発生件数が増加しております。
今月もXSSの脆弱性が一番発生しており、十分に注意が必要です。
脆弱性一覧
2019年3月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2019年3月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | XSS | 本体 | 3.9-5.1 |
| プラグイン | UNKNOWN | Caldera Forms Pro | 1.8.1 |
| プラグイン | XSS | Abandoned Cart Lite for WooCommerce | 5.1.3 |
| プラグイン | BYPASS | Fremius Library | 2.2.3 |
| プラグイン | XSS | Font_Organizer | 2.1.1 |
| プラグイン | BYPASS | Social Warfare | 3.5.2 |
| プラグイン | XSS | KingComposer | – |
| プラグイン | CSRF | FormCraft | 1.2.1 |
| プラグイン | XSS | Give | 2.3.0 |
| プラグイン | XSS | WP Support Plus Responsive Ticket System | 9.1.1 |
| プラグイン | LFI | GraceMedia Media Player | 1.0 |
| プラグイン | XSS | Blog2Social | 5.0.2 |
| プラグイン | MULTI | article2pdf | – |
| プラグイン | XSS | YOP Poll | 6.0.2 |
| プラグイン | XSS | WP Live Chat Support | 8.0.17 |
| プラグイン | UNKNOWN | WP Fastest Cache | 0.8.9.0 |
| プラグイン | XSS | NextScripts | 4.2.7 |
| プラグイン | TRAVERSAL | SG Optimizer | 5.0.12 |
| プラグイン | XSS | Quiz And Survey Master | – |
| プラグイン | AUTHBYPASS | Easy WP SMTP | 1.3.9 |
| プラグイン | XSS | Contact Form Email | 1.2.65 |
| プラグイン | CSRF | Smart Forms | 2.5.15 |
| プラグイン | XSS | WP Google Maps | 7.10.41 |
| プラグイン | SQLI | Better Search | 2.2.2 |