WordPress 2019年9月_脆弱性レポート 2019/10/3
2019年9月度のWordPressに関する脆弱性レポートをお知らせします。
9月度全体の脆弱性報告件数としては35件となっており、2019年8月度から6件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が7件、テーマが4件、プラグインが24件でした。
本体に関しまして、今月は脆弱性が発生しております。
3月以来の発生となります。
テーマに関しましても、今月は脆弱性が発生しております。
7月以来の発生となります。
また、最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。
トピックス
前述のとおり本体に関しましては、脆弱性が7件発生しております。
ブログにて速報しております通り、バージョン5.2.2以下において複数の脆弱性が確認されています。
すでに対策バージョン5.2.3がセキュリティ&メンテナンスリリースされており、29件のバグ修正とセキュリティ強化が施されました。
(参照リンク:WordPress 5.2.3 Security and Maintenance Release)
対策版に関しましては下表のとおりです。
| 現在ご利用のバージョン | 対策済みバージョン |
| 1.0~3.6.1 | 5.2.3 |
| 3.7~3.7.29 | 3.7.30 |
| 3.8~3.8.29 | 3.8.30 |
| 3.9~3.9.27 | 3.9.28 |
| 4.0~4.0.26 | 4.0.27 |
| 4.1~4.1.26 | 4.1.27 |
| 4.2~4.2.23 | 4.2.24 |
| 4.3~4.3.19 | 4.3.20 |
| 4.4~4.4.18 | 4.4.19 |
| 4.5~4.5.17 | 4.5.18 |
| 4.6~4.6.14 | 4.6.15 |
| 4.7~4.7.13 | 4.7.14 |
| 4.8~4.8.9 | 4.8.10 |
| 4.9~4.9.10 | 4.9.11 |
| 5.0~5.0.4 | 5.0.6 |
| 5.1~5.1.1 | 5.1.2 |
| 5.2~5.2.2 | 5.2.3 |
テーマに関しましては、4件脆弱性が発生しております。
「Nexos」と「Selio」というテーマから、それぞれにXSSとSQLIの脆弱性がセットで発見されました。
脆弱性はすでにアップデートによって修正済みで、それぞれバージョン「1.7」と「1.2」以上への更新によって塞ぐことができます。
プラグインに関しましては先月から5件減少し、24件の脆弱性が発見されました。
ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Easy FancyboxにてXSS
- Photo Gallery by 10WebにてXSSとSQLI
- Advanced Access ManagerにてBYPASS
- Woody Ad SnippetsにてXSS
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで18件、2位がSQLIとその他で4件ずつでした。
トピックス
8月度と比較してみると、CSRFの発生件数が意外と少ない印象でした。
ただ、今月もXSSの脆弱性が一番発生しており、十分に注意が必要です。
脆弱性一覧
2019年9月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2019年9月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | XSS | URL Sanitisation | 5.2.2 |
| 本体 | XSS | Shortcode Previews | 5.2.2 |
| 本体 | XSS | Post Previews | 5.2.2 |
| 本体 | XSS | Dashboard | 5.2.2 |
| 本体 | XSS | Stored Comments | 5.2.2 |
| 本体 | REDIRECT | Potential Open Redirect | 5.2.2 |
| 本体 | XSS | Media uploads | 5.2.2 |
| プラグイン | MULTI | Theme Editor | 2.1 |
| プラグイン | SSRF | Visualizer | 3.3.0 |
| プラグイン | AUTHBYPASS | GiveWp | 2.5.4 |
| プラグイン | XSS | Easy Fancybox | 1.8.17 |
| プラグイン | BYPASS | Rich Reviews | 1.7.4 |
| プラグイン | BYPASS | DELUCKS SEO | 2.1.7 |
| プラグイン | MULTI | Motors Car Dealer & Classified Ads | 1.4.0 |
| プラグイン | MULTI | Ultimate FAQ | 1.8.24 |
| プラグイン | PRIVESC | Advanced AJAX Product Filters | 1.3.6 |
| プラグイン | XSS | Woody Ad Snippets | 2.2.8 |
| プラグイン | XSS | Checklist | 1.1.5 |
| プラグイン | SQLI | SlickQuiz | 1.3.7.1 |
| プラグイン | PRIVESC | LifterLMS | 3.34.5 |
| プラグイン | SQLI | Photo Gallery by 10Web | 1.5.34 |
| プラグイン | XSS | Photo Gallery by 10Web | 1.5.34 |
| プラグイン | XSS | Ellipsis Human Presence Technology | 2.0.8 |
| プラグイン | XSS | Qwiz Online Quizzes And Flashcards | 3.36 |
| プラグイン | PRIVESC | Search Exclude | 1.2.3 |
| プラグイン | BYPASS | Advanced Access Manager | 5.9.9 |
| プラグイン | XSS | API Bearer Auth | 20181229 |
| プラグイン | XSS | ECPay Logistics for WooCommerce | 1.2.181030 |
| プラグイン | XSS | Spryng Payments for WooCommerce | 1.6.7 |
| プラグイン | XSS | Portrait-Archiv.com Photostore | 3.1 |
| プラグイン | CSV Injection | Event Tickets | 4.10.7.1 |
| テーマ | SQLI | Nexos | 1.6 |
| テーマ | XSS | Nexos | 1.6 |
| テーマ | SQLI | Selio | 1.1 |
| テーマ | XSS | Selio | 1.1 |