Pocket

WordPress 2019年6月_脆弱性レポート  2019/7/22

2019年6月度のWordPressに関する脆弱性レポートをお知らせします。

6月度全体の脆弱性報告件数としては93件となっており、2019年5月度から57件増加しております。

個所別レポート

個所別の発生件数は、それぞれ本体が0件、テーマが0件、プラグインが93件でした。

本体に関しまして、今月は脆弱性が発生しませんでした。

テーマに関しましても、今月は脆弱性が発生しませんでした。

最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。

トピックス

前述のとおり本体、テーマに関しましては、脆弱性が発生しませんでした。

 

 

プラグインに関しましては先月から59件増加し、93件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。

 

1つ目は、アクティブインストール100万以上、総ダウンロード数1873万以上の人気プラグイン『Ninja Forms』にXSSやSQLIなど複数の脆弱性が発生しております。

このプラグインは、お問い合わせフォームを簡単に作成できるプラグインです。

お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン3.3.21.3以上への更新によって塞ぐことができます。
(※2019年7月22日現在の最新版はバージョン3.4.16ですので、こちらの最新版への更新をお勧めします。)

 

2つ目は、アクティブインストール100万以上、総ダウンロード数1244万以上の人気プラグイン『Advanced Custom Fields』にOBJECTINJECTIONの脆弱性が発生しております。

このプラグインは、「カスタムフィールド」の細かい設定ができるプラグインです。

お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン5.7.12以上への更新によって塞ぐことができます。
(※2019年7月22日現在の最新版はバージョン5.8.2ですので、こちらの最新版への更新をお勧めします。)

 

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

  • Loco TranslateにてLFI
  • Instagram FeedにてUNKNOWN
  • PolylangにてCSRF
  • WP StatisticsにてXSS
  • WP Google MapsにてCSRF

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで36件、2位がCSRFで24件、3位がその他で12件でした。

トピックス

5月度と比較してみると、脆弱性の発生件数が2倍以上増加しております。

また、今月もXSSの脆弱性が一番発生しており、十分に注意が必要です。

脆弱性一覧

2019年6月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。

脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2019年6月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
プラグイン XSS Support Board 1.2.8
プラグイン CSRF WebP Converter for Media 1.0.2
プラグイン MULTI ConvertPlus 3.4.4
プラグイン CSRF Deny All Firewall 1.1.6
プラグイン CSRF Facebook for WooCommerce 1.9.12
プラグイン MULTI Online Accessibility 2.0.10
プラグイン LFI Sina Extension For Elementor 2.2.0
プラグイン XSS GA Backend Tracking 1.2
プラグイン CSRF Messenger Customer Chat 1.2
プラグイン XSS PWA for WP 1.0.8
プラグイン CSRF WebP Express 0.14.10
プラグイン XSS WebP Express 0.14.4
プラグイン XSS Seo by Rank Math 1.0.26
プラグイン BYPASS Seo by Rank Math 1.0.27
プラグイン MULTI Ads for WP 1.5
プラグイン CSRF Ads For WP 1.8
プラグイン XSS Easy Pdf Restaurant Menu Upload 1.1.1
プラグイン LFI Revamp CRM for WooCommerce 1.0.3
プラグイン CSRF WP Better Permalinks 3.0.4
プラグイン XSS CF7 Invisible reCaptcha 1.3.1
プラグイン MULTI Dropshix 4.0.11
プラグイン XSS Share This Image 1.19
プラグイン UPLOAD Finale WooCommerce Sale Countdown 2.9.0
プラグイン CSRF Block WP Login 1.3.0
プラグイン UNKNOWN Real Estate Manager 6.7.1
プラグイン CSRF ACF Better Search 3.3.0
プラグイン RCE Simple Link Directory 5.5.0
プラグイン SQLI LoginPress 1.1.13
プラグイン SQLI Companion Auto Update 3.3.5
プラグイン CSRF Companion Auto Update 3.2.0
プラグイン LFI Companion Auto Update 3.2.0
プラグイン XSS Advanced Woo Search 1.68
プラグイン CSRF Advanced Woo Search 1.68
プラグイン XSS WD Instagram Feed 1.3.0
プラグイン XSS Add Any Extension to Pages 1.3
プラグイン XSS Enhanced Plugin Admin 1.15
プラグイン CSRF User Email Verification for WooCommerce 3.3.0
プラグイン AUTHBYPASS Charitable 1.5.13
プラグイン CSRF SAML SP SSO 4.8.70
プラグイン XSS SAML SP SSO 4.8.72
プラグイン MULTI Spots.IM Comments 3.0.0
プラグイン XSS Custom 404 Pro 3.2.8
プラグイン XSS WP SpreadPlugin 3.8.6
プラグイン XSS Plugin Info Card 2.3.6
プラグイン CSRF Simple Add Pages or Posts 1.6
プラグイン XSS RSS Includes Pages 3.6
プラグイン CSRF Related YouTube Video 1.9.8
プラグイン XSS Related YouTube Video 1.9.8
プラグイン XSS Real Time Find and Replace 3.8
プラグイン UNKNOWN MyBookTable 2.1.4
プラグイン UPLOAD IP Address Blocker 10.3
プラグイン LFI InPost Gallery 2.1.2
プラグイン XSS InPost Gallery 2.1.2
プラグイン XSS FG PrestaShop for WooCommerce 3.19.0
プラグイン MULTI Crelly Slider 1.1.1
プラグイン UPLOAD Crelly Slider 1.3.4
プラグイン XSS Breadcrumbs by menu 1.0.1
プラグイン CSRF Breadcrumbs by menu 1.0.1
プラグイン OBJECTINJECTION Blog2Social 5.0.0
プラグイン XSS WP Ultimate Recipe 3.12.6
プラグイン CSRF WP Ultimate CSV Importer 5.6
プラグイン CSRF Widget Logic 5.9.0
プラグイン RCE Widget Logic 5.9.0
プラグイン XSS Watu Quizz 3.1.2.5
プラグイン UPLOAD User Submitted Posts 20190426
プラグイン MULTI Social Media & Share Icons 2.1.7
プラグイン XSS Max Mega Menu 2.3.8
プラグイン LFI Loco Translate 2.2.1
プラグイン UNKNOWN Instagram Feed 1.11.3
プラグイン XSS Import users from CSV with meta 1.14.0.2
プラグイン CSRF Import users from CSV with meta 1.14.0.2
プラグイン XSS Import users from CSV with meta 1.14.1.2
プラグイン CSRF Import users from CSV with meta 1.14.1.3
プラグイン XSS FG Joomla to WordPress 3.30.0
プラグイン XSS Easy Digital Downloads 2.9.15
プラグイン XSS CP Contact Form with Paypal 1.3.01
プラグイン CSRF Affiliates Manager 2.6.5
プラグイン XSS 360 Product Rotation 1.4.7
プラグイン XSS Ninja Forms 3.3.21
プラグイン SQLI Ninja Forms 3.3.21
プラグイン CSRF WP Google Maps 7.11.27
プラグイン XSS Slideshow Gallery 1.6.8
プラグイン SQLI Slideshow Gallery 1.6.8
プラグイン REDIRECT Paid Memberships Pro 2.0.5
プラグイン CSRF Polylang 2.5
プラグイン LFI Photo Gallery 1.5.24
プラグイン XSS Photo Gallery 1.5.22
プラグイン CSRF WP-Members 3.2.7
プラグイン MULTI Download Manager 2.9.96
プラグイン XSS Shortlinks by Pretty Links 2.1.9
プラグイン CSVI Shortlinks by Pretty Links 2.1.9
プラグイン XSS WP Statistics 12.6.5
プラグイン OBJECTINJECTION Advanced Custom Fields 5.7.0