WordPress 2019年7月_脆弱性レポート 2019/8/23
2019年7月度のWordPressに関する脆弱性レポートをお知らせします。
7月度全体の脆弱性報告件数としては65件となっており、2019年6月度から28件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが2件、プラグインが63件でした。
本体に関しまして、今月は脆弱性が発生しませんでした。
テーマに関しまして、今月は脆弱性が発生しております。
5月以来の発生となります。
最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。
トピックス
前述のとおり本体に関しましては、脆弱性が発生しませんでした。
テーマに関しましては、2件脆弱性が発生しております。
「Real Estate 7」と「Zoner」というテーマから、XSSの脆弱性が発見されました。
脆弱性はすでにアップデートによって修正済みで、それぞれバージョン「2.9.1」と「4.1.1」以上への更新によって塞ぐことができます。
プラグインに関しましては先月から30件減少し、63件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。
1つ目は、アクティブインストール500万以上、総ダウンロード数1億8972万以上の人気プラグイン『Yoast SEO』にXSSの脆弱性が発生しております。
このプラグインは、SEO最適化用のWordPressプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン11.6以上への更新によって塞ぐことができます。
(※2019年8月23日現在の最新版はバージョン11.9ですので、こちらの最新版への更新をお勧めします。)
2つ目は、アクティブインストール500万以上、総ダウンロード数7448万以上の人気プラグイン『WooCommerce』にCSRFの脆弱性が発生しております。
このプラグインは、WordPress上でショッピングカートを動作させるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.6.5以上への更新によって塞ぐことができます。
(※2019年8月23日現在の最新版はバージョン3.7.0ですので、こちらの最新版への更新をお勧めします。)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- All-in-One WP MigrationにてXSS
- WP Fastest CacheにてTRAVERSAL
- WP StatisticsにてXSS
- WPS Hide LoginにてBYPASS
- WP File ManagerにてMULTI
- WP Google MapsにてCSRF
- Ocean ExtraにてMULTI
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで23件、2位がCSRFで17件、3位がSQLiで10件でした。
トピックス
6月度と比較してみると、脆弱性の発生件数こそ減少しておりますが、他の月と比較するとかなり脆弱性が発生しております。
今月もXSSの脆弱性が一番発生しており、十分に注意が必要です。
脆弱性一覧
2019年7月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2019年7月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | PRIVESC | ND Shortcodes For Visual Composer | 5.8 |
| プラグイン | CSRF | Custom Simple RSS | 2.0.6 |
| プラグイン | HTML Injection | Pirate Forms | 1.5.1 |
| プラグイン | CSRF | Pirate Forms | 1.5.1 |
| プラグイン | CSRF | Simple Membership | 3.8.4 |
| プラグイン | SQLI | Advanced Contact form 7 DB | 1.6.1 |
| プラグイン | SQLI | Photo Gallery | 1.5.30 |
| プラグイン | SQLI | Blog2Social | 5.5.0 |
| プラグイン | XSS | Contact Form 7 Dynamic Text Extension | 2.0.2.1 |
| プラグイン | CSRF | WPS Bidouille | 1.12.2 |
| プラグイン | TRAVERSAL | WPS Child Themes Generator | 1.1 |
| プラグイン | CSRF | WPS Cleaner | 1.4.4 |
| プラグイン | BYPASS | WPS Hide Login | 1.5.2.2 |
| プラグイン | Bypass | WPS Limit Login | 1.4.5 |
| プラグイン | XSS | WPS Limit Login | 1.4.5 |
| プラグイン | XSS | Ultimate Member | 2.0.53 |
| プラグイン | MULTI | Adaptive Images for WordPress | 0.6.66 |
| プラグイン | CSRF | Category Specific RSS feed Subscription | 2.0 |
| プラグイン | SQLI | Everest Forms | 1.4.9 |
| プラグイン | XSS | OneSignal Web Push Notifications | – |
| プラグイン | XSS | All-in-One WP Migration | 6.97 |
| プラグイン | XSS | Coming Soon Page & Maintenance Mode | 1.8.0 |
| プラグイン | SQLI | Web Librarian | 3.5.5 |
| プラグイン | CSRF | Ultra Simple Paypal Shopping Cart | 4.4 |
| プラグイン | RCE | Ad Inserter | 2.4.21 |
| プラグイン | TRAVERSAL | Ad Inserter | 2.4.19 |
| プラグイン | SQLI | Email Subscribers & Newsletters | 4.1.7 |
| プラグイン | SQLI | AdRotate Banner Manager | 5.2 |
| プラグイン | SQLI | FV Flowplayer Video Player | 7.3.18.727 |
| プラグイン | CSRF | One Click SSL | 1.4.6 |
| プラグイン | CSRF | School Management | 57.0 |
| プラグイン | XSS | School Management | 57.0 |
| プラグイン | BYPASS | Hybrid Composer | 1.4.6 |
| プラグイン | MULTI | WP File Manager | 5.0 |
| プラグイン | XSS | Appointment Hour Booking | 1.1.45 |
| プラグイン | CSRF | Icegram | 1.10.28.2 |
| プラグイン | XSS | Icegram | 1.10.28.2 |
| プラグイン | XSS | Gallery Photoblocks | 1.1.42 |
| プラグイン | XSS | Yoast SEO | 1.2.0-11.5 |
| プラグイン | SQLI | Rencontre | 3.1.2 |
| プラグイン | XSS | Rencontre | 3.1.2 |
| プラグイン | CSRF | WP Custom Body Class | 0.7.0 |
| プラグイン | XSS | WP Custom Body Class | 0.7.0 |
| プラグイン | CSRF | WP Google Maps | 7.11.34 |
| プラグイン | XSS | WP Google Maps | 7.11.34 |
| プラグイン | CSRF | WP Slimstat | 4.8.3 |
| プラグイン | XSS | WP Slimstat | 4.8.3 |
| プラグイン | CSRF | WooCommerce | 3.6.4 |
| プラグイン | XSS | Gallery Photoblocks | 1.1.40 |
| プラグイン | AUTHBYPASS | WP Like Button | 1.6.0 |
| プラグイン | XSS | Appointment Booking Calendar | 1.3.18 |
| プラグイン | MULTI | Ocean Extra | 1.5.8 |
| プラグイン | XSS | MyBookTable | 3.2.2 |
| プラグイン | XSS | Simple Mail Address Encoder | 1.6.1 |
| プラグイン | CSRF | Visitors Traffic Real Time Statistics | 1.12 |
| プラグイン | XSS | Visitors Traffic Real Time Statistics | 1.12 |
| プラグイン | SQLI | Visitors Traffic Real Time Statistics | 1.12 |
| プラグイン | MULTI | Insert or Embed Articulate Content into WordPress | 4.2999 |
| プラグイン | CSRF | Newsletter Lite | 4.6.19 |
| プラグイン | RCE | Newsletter Lite | 4.6.19 |
| プラグイン | CSRF | Widget Logic | 5.10.2 |
| プラグイン | XSS | WP Statistics | 12.6.6.1 |
| プラグイン | TRAVERSAL | WP Fastest Cache | 0.8.9.5 |
| テーマ | XSS | Real Estate 7 | 2.9.0 |
| テーマ | XSS | Zoner | 4.1 |