WordPress 2019年6月_脆弱性レポート 2019/7/22
2019年6月度のWordPressに関する脆弱性レポートをお知らせします。
6月度全体の脆弱性報告件数としては93件となっており、2019年5月度から57件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが0件、プラグインが93件でした。
本体に関しまして、今月は脆弱性が発生しませんでした。
テーマに関しましても、今月は脆弱性が発生しませんでした。
最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。
トピックス
前述のとおり本体、テーマに関しましては、脆弱性が発生しませんでした。
プラグインに関しましては先月から59件増加し、93件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。
1つ目は、アクティブインストール100万以上、総ダウンロード数1873万以上の人気プラグイン『Ninja Forms』にXSSやSQLIなど複数の脆弱性が発生しております。
このプラグインは、お問い合わせフォームを簡単に作成できるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.3.21.3以上への更新によって塞ぐことができます。
(※2019年7月22日現在の最新版はバージョン3.4.16ですので、こちらの最新版への更新をお勧めします。)
2つ目は、アクティブインストール100万以上、総ダウンロード数1244万以上の人気プラグイン『Advanced Custom Fields』にOBJECTINJECTIONの脆弱性が発生しております。
このプラグインは、「カスタムフィールド」の細かい設定ができるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン5.7.12以上への更新によって塞ぐことができます。
(※2019年7月22日現在の最新版はバージョン5.8.2ですので、こちらの最新版への更新をお勧めします。)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Loco TranslateにてLFI
- Instagram FeedにてUNKNOWN
- PolylangにてCSRF
- WP StatisticsにてXSS
- WP Google MapsにてCSRF
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで36件、2位がCSRFで24件、3位がその他で12件でした。
トピックス
5月度と比較してみると、脆弱性の発生件数が2倍以上増加しております。
また、今月もXSSの脆弱性が一番発生しており、十分に注意が必要です。
脆弱性一覧
2019年6月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2019年6月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | XSS | Support Board | 1.2.8 |
| プラグイン | CSRF | WebP Converter for Media | 1.0.2 |
| プラグイン | MULTI | ConvertPlus | 3.4.4 |
| プラグイン | CSRF | Deny All Firewall | 1.1.6 |
| プラグイン | CSRF | Facebook for WooCommerce | 1.9.12 |
| プラグイン | MULTI | Online Accessibility | 2.0.10 |
| プラグイン | LFI | Sina Extension For Elementor | 2.2.0 |
| プラグイン | XSS | GA Backend Tracking | 1.2 |
| プラグイン | CSRF | Messenger Customer Chat | 1.2 |
| プラグイン | XSS | PWA for WP | 1.0.8 |
| プラグイン | CSRF | WebP Express | 0.14.10 |
| プラグイン | XSS | WebP Express | 0.14.4 |
| プラグイン | XSS | Seo by Rank Math | 1.0.26 |
| プラグイン | BYPASS | Seo by Rank Math | 1.0.27 |
| プラグイン | MULTI | Ads for WP | 1.5 |
| プラグイン | CSRF | Ads For WP | 1.8 |
| プラグイン | XSS | Easy Pdf Restaurant Menu Upload | 1.1.1 |
| プラグイン | LFI | Revamp CRM for WooCommerce | 1.0.3 |
| プラグイン | CSRF | WP Better Permalinks | 3.0.4 |
| プラグイン | XSS | CF7 Invisible reCaptcha | 1.3.1 |
| プラグイン | MULTI | Dropshix | 4.0.11 |
| プラグイン | XSS | Share This Image | 1.19 |
| プラグイン | UPLOAD | Finale WooCommerce Sale Countdown | 2.9.0 |
| プラグイン | CSRF | Block WP Login | 1.3.0 |
| プラグイン | UNKNOWN | Real Estate Manager | 6.7.1 |
| プラグイン | CSRF | ACF Better Search | 3.3.0 |
| プラグイン | RCE | Simple Link Directory | 5.5.0 |
| プラグイン | SQLI | LoginPress | 1.1.13 |
| プラグイン | SQLI | Companion Auto Update | 3.3.5 |
| プラグイン | CSRF | Companion Auto Update | 3.2.0 |
| プラグイン | LFI | Companion Auto Update | 3.2.0 |
| プラグイン | XSS | Advanced Woo Search | 1.68 |
| プラグイン | CSRF | Advanced Woo Search | 1.68 |
| プラグイン | XSS | WD Instagram Feed | 1.3.0 |
| プラグイン | XSS | Add Any Extension to Pages | 1.3 |
| プラグイン | XSS | Enhanced Plugin Admin | 1.15 |
| プラグイン | CSRF | User Email Verification for WooCommerce | 3.3.0 |
| プラグイン | AUTHBYPASS | Charitable | 1.5.13 |
| プラグイン | CSRF | SAML SP SSO | 4.8.70 |
| プラグイン | XSS | SAML SP SSO | 4.8.72 |
| プラグイン | MULTI | Spots.IM Comments | 3.0.0 |
| プラグイン | XSS | Custom 404 Pro | 3.2.8 |
| プラグイン | XSS | WP SpreadPlugin | 3.8.6 |
| プラグイン | XSS | Plugin Info Card | 2.3.6 |
| プラグイン | CSRF | Simple Add Pages or Posts | 1.6 |
| プラグイン | XSS | RSS Includes Pages | 3.6 |
| プラグイン | CSRF | Related YouTube Video | 1.9.8 |
| プラグイン | XSS | Related YouTube Video | 1.9.8 |
| プラグイン | XSS | Real Time Find and Replace | 3.8 |
| プラグイン | UNKNOWN | MyBookTable | 2.1.4 |
| プラグイン | UPLOAD | IP Address Blocker | 10.3 |
| プラグイン | LFI | InPost Gallery | 2.1.2 |
| プラグイン | XSS | InPost Gallery | 2.1.2 |
| プラグイン | XSS | FG PrestaShop for WooCommerce | 3.19.0 |
| プラグイン | MULTI | Crelly Slider | 1.1.1 |
| プラグイン | UPLOAD | Crelly Slider | 1.3.4 |
| プラグイン | XSS | Breadcrumbs by menu | 1.0.1 |
| プラグイン | CSRF | Breadcrumbs by menu | 1.0.1 |
| プラグイン | OBJECTINJECTION | Blog2Social | 5.0.0 |
| プラグイン | XSS | WP Ultimate Recipe | 3.12.6 |
| プラグイン | CSRF | WP Ultimate CSV Importer | 5.6 |
| プラグイン | CSRF | Widget Logic | 5.9.0 |
| プラグイン | RCE | Widget Logic | 5.9.0 |
| プラグイン | XSS | Watu Quizz | 3.1.2.5 |
| プラグイン | UPLOAD | User Submitted Posts | 20190426 |
| プラグイン | MULTI | Social Media & Share Icons | 2.1.7 |
| プラグイン | XSS | Max Mega Menu | 2.3.8 |
| プラグイン | LFI | Loco Translate | 2.2.1 |
| プラグイン | UNKNOWN | Instagram Feed | 1.11.3 |
| プラグイン | XSS | Import users from CSV with meta | 1.14.0.2 |
| プラグイン | CSRF | Import users from CSV with meta | 1.14.0.2 |
| プラグイン | XSS | Import users from CSV with meta | 1.14.1.2 |
| プラグイン | CSRF | Import users from CSV with meta | 1.14.1.3 |
| プラグイン | XSS | FG Joomla to WordPress | 3.30.0 |
| プラグイン | XSS | Easy Digital Downloads | 2.9.15 |
| プラグイン | XSS | CP Contact Form with Paypal | 1.3.01 |
| プラグイン | CSRF | Affiliates Manager | 2.6.5 |
| プラグイン | XSS | 360 Product Rotation | 1.4.7 |
| プラグイン | XSS | Ninja Forms | 3.3.21 |
| プラグイン | SQLI | Ninja Forms | 3.3.21 |
| プラグイン | CSRF | WP Google Maps | 7.11.27 |
| プラグイン | XSS | Slideshow Gallery | 1.6.8 |
| プラグイン | SQLI | Slideshow Gallery | 1.6.8 |
| プラグイン | REDIRECT | Paid Memberships Pro | 2.0.5 |
| プラグイン | CSRF | Polylang | 2.5 |
| プラグイン | LFI | Photo Gallery | 1.5.24 |
| プラグイン | XSS | Photo Gallery | 1.5.22 |
| プラグイン | CSRF | WP-Members | 3.2.7 |
| プラグイン | MULTI | Download Manager | 2.9.96 |
| プラグイン | XSS | Shortlinks by Pretty Links | 2.1.9 |
| プラグイン | CSVI | Shortlinks by Pretty Links | 2.1.9 |
| プラグイン | XSS | WP Statistics | 12.6.5 |
| プラグイン | OBJECTINJECTION | Advanced Custom Fields | 5.7.0 |