WordPress 2019年5月_脆弱性レポート 2019/6/12
2019年5月度のWordPressに関する脆弱性レポートをお知らせします。
5月度全体の脆弱性報告件数としては36件となっており、2019年4月度から17件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが2件、プラグインが34件でした。
本体に関しまして、今月は脆弱性が発生しませんでした。
テーマに関しまして、今月は脆弱性が発生しております。
4月以来の発生となります。
また、最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。
トピックス
前述のとおり本体に関しましては、脆弱性が発生しませんでした。
テーマに関しましては、2件脆弱性が発生しております。
「JobCareer」と「Traveler」というテーマから、XSSの脆弱性が発見されました。
脆弱性はすでにアップデートによって修正済みで、それぞれバージョン「2.5.1」と「2.7.2」以上への更新によって塞ぐことができます。
プラグインに関しましては先月から16件増加し、34件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。
アクティブインストール100万以上、総ダウンロード数1548万以上の人気プラグイン『W3 Total Cache』にBYPASSやXSSなど複数の脆弱性が発生しております。
このプラグインは、サイトの表示速度の高速化のためのキャッシュやサーバーの設定を容易に行えるようになるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン0.9.7.4以上への更新によって塞ぐことができます。
(※2019年6月12日現在の最新版はバージョン0.9.7.5ですので、こちらの最新版への更新をお勧めします。)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Ultimate MemberにてXSS
- Form Maker by 10WebにてSQLI
- SlimstatにてXSS
- All-in-One Event CalendarにてXSS
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで16件、2位がBYPASSで4件、3位がSQLiで3件でした。
トピックス
4月度と比較してみると、全体的に脆弱性の発生件数が2倍近く増加しております。
また、今月もXSSの脆弱性が一番発生しており、十分に注意が必要です。
脆弱性一覧
2019年5月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2019年5月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| テーマ | XSS | JobCareer | 2.5 |
| テーマ | XSS | Traveler | 2.7.1 |
| プラグイン | BYPASS | ConvertPlus | 3.4.2 |
| プラグイン | UPLOAD | WP Live Chat Support Pro | – |
| プラグイン | UPLOAD | indeed-membership-pro (Ultimate Membership Pro) | 7.5 |
| プラグイン | UNKNOWN | indeed-membership-pro (Ultimate Membership Pro) | 7.4.2 |
| プラグイン | MULTI | WPGraphQL | 0.2.3 |
| プラグイン | UPLOAD | Ninja Forms File Uploads Extension | 3.0.22 |
| プラグイン | XSS | Event Management Tickets Booking By Event Monster | 1.0.5 |
| プラグイン | OBJECTINJECTION | Carts Guru | 1.4.4 |
| プラグイン | XSS | Live Chat with Facebook Messenger | 1.4.6 |
| プラグイン | TRAVERSAL | Simple File List Plugin | 3.2.4 |
| プラグイン | TRAVERSAL | Simple File List Plugin | 3.2.4 |
| プラグイン | XSS | Launcher | 1.0.10 |
| プラグイン | XSS | Blog Designer | 1.8.10 |
| プラグイン | SQLI | WP Booking System | 1.5.1.1 |
| プラグイン | OBJECTINJECTION | Virim | – |
| プラグイン | AUTHBYPASS | Slick Popup | 1.7.1 |
| プラグイン | XSS | Register Ips | 1.8.0 |
| プラグイン | XSS | Hostel Plugin | 1.1.3 |
| プラグイン | XSS | WP Live Chat Support | 8.0.26 |
| プラグイン | BYPASS | WP Database Backup | 5.1.2 |
| プラグイン | UNKNOWN | Hustle | 6.0.7 |
| プラグイン | XSS | Ultimate Member | 2.0.45 |
| プラグイン | XSS | FV Flowplayer Video Player | 7.3.13.727 |
| プラグイン | SQLI | FV Flowplayer Video Player | 7.3.13.727 |
| プラグイン | BYPASS | FV Flowplayer Video Player | 7.3.13.727 |
| プラグイン | XSS | Custom Field Suite | 2.5.14 |
| プラグイン | XSS | My Calendar | 3.1.9 |
| プラグイン | SQLI | Form Maker by 10Web | 1.13.2 |
| プラグイン | XSS | Slimstat | 4.8 |
| プラグイン | BYPASS | W3 Total Cache | 0.9.7.3 |
| プラグイン | XSS | W3 Total Cache | 0.9.7.3 |
| プラグイン | MULTI | W3 Total Cache | 0.9.7.3 |
| プラグイン | XSS | All-in-One Event Calendar | 2.5.38 |
| プラグイン | REDIRECT | Newsletter Manager | – |