WordPress 2019年8月_脆弱性レポート 2019/9/18
2019年8月度のWordPressに関する脆弱性レポートをお知らせします。
8月度全体の脆弱性報告件数としては29件となっており、2019年7月度から36件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが0件、プラグインが29件でした。
本体に関しまして、今月は脆弱性が発生しませんでした。
テーマに関しましても、今月は脆弱性が発生しませんでした。
最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。
トピックス
前述のとおり本体、テーマに関しましては、脆弱性が発生しませんでした。
プラグインに関しましては先月から34件減少し、29件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。
アクティブインストール90万以上、総ダウンロード数2734万以上の人気プラグイン『Nextgen Gallery』にSQLIの脆弱性が発生しております。
このプラグインは、多くの写真や画像を使ったギャラリーを作成し記事に簡単に設置することができるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.2.11以上への更新によって塞ぐことができます。
(※2019年9月18日現在の最新版はバージョン3.2.15ですので、こちらの最新版への更新をお勧めします。)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Popup BuilderにてSQLI
- GiveにてSQLI
- Variation Swatches for WooCommerceにてXSS
- WP Social Feed GalleryにてCSRF
- WP SVG IconsにてCSRF
内容別レポート
脆弱性の内容別発生件数は、1位がPRIVESCとXSSで7件、3位がCSRFで6件でした。
トピックス
7月度と比較してみると、脆弱性の発生件数が半分くらいに減少しております。
また、今月はXSSだけでなく、PRIVESCの脆弱性が多く発生しており、十分に注意が必要です。
脆弱性一覧
2019年8月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2019年8月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | XSS | WooCommerce Product Feed for Google, Facebook, eBay and Many More | 3.1.15 |
| プラグイン | CSRF | HandL UTM Grabber | 2.6.5 |
| プラグイン | SQLI | Nextgen Gallery | 3.2.10 |
| プラグイン | XSS | Shapepress DSGVO | 2.2.19 |
| プラグイン | BYPASS | WP Private Content Plus | 1.31 |
| プラグイン | PRIVESC | Bold Page Builder | 2.3.2 |
| プラグイン | CSRF | WooCommerce Address Book | 1.6.0 |
| プラグイン | CSVI | Import Export WordPress Users | 1.3.2 |
| プラグイン | XSS | Additional Variation Images for WooCommerce | 1.1.29 |
| プラグイン | XSS | Variation Swatches for WooCommerce | 1.0.62 |
| プラグイン | XSS | Easy Property Listings | 3.3.5 |
| プラグイン | HTMLI | Cforms & CformsII | 15.0.1 |
| プラグイン | CSRF | Cforms & CformsII | 15.0.1 |
| プラグイン | CSRF | WP Social Feed Gallery | 2.4.8 |
| プラグイン | CSRF | Social LikeBox & Feed | 2.8.5 |
| プラグイン | XSS | Social LikeBox & Feed | 2.8.5 |
| プラグイン | MULTI | Simple 301 Redirects Addon Bulk Uploader | 1.2.4 |
| プラグイン | XSS | PPOM for WooCommerce | 18.3 |
| プラグイン | PRIVESC | ND Restaurant Reservations | 1.3 |
| プラグイン | CSRF | WP SVG Icons | 3.2.2 |
| プラグイン | SQLI | JoomSport | 3.3 |
| プラグイン | PRIVESC | Login Or Logout Menu Item | 1.1.1 |
| プラグイン | PRIVESC | ND Learning | 4.7 |
| プラグイン | SQLI | Popup Builder | 3.44 |
| プラグイン | PRIVESC | ND Booking | 2.5 |
| プラグイン | PRIVESC | ND Donations | 1.4 |
| プラグイン | PRIVESC | Travel Management | 1.7 |
| プラグイン | MULTI | Woody Ad Snippets | 2.2.4 |
| プラグイン | SQLI | Give | 2.5.0 |