WordPress 2019年10月_脆弱性レポート 2019/11/28
2019年10月度のWordPressに関する脆弱性レポートをお知らせします。
10月度全体の脆弱性報告件数としては36件となっており、2019年9月度から1件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が6件、テーマが2件、プラグインが28件でした。
本体に関しまして、今月は脆弱性が発生しております。
先月に引き続いての発生となります。
テーマに関しましても、今月は脆弱性が発生しております。
こちらも先月に引き続いての発生となります。
また、最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。
トピックス
前述のとおり本体に関しましては、脆弱性が6件発生しております。
ブログにて速報しております通り、バージョン5.2.3以下において複数の脆弱性が確認されています。
すでに対策バージョン5.2.4がセキュリティリリースされており、この6件の脆弱性対策が施されました。
(参照リンク:WordPress 5.2.4 Security Release)
対策版に関しましては下表のとおりです。
| 現在ご利用のバージョン | 対策済みバージョン |
| 1.0~3.6.1 | 5.2.4 |
| 3.7~3.7.30 | 3.7.31 |
| 3.8~3.8.30 | 3.8.31 |
| 3.9~3.9.28 | 3.9.29 |
| 4.0~4.0.27 | 4.0.28 |
| 4.1~4.1.27 | 4.1.28 |
| 4.2~4.2.24 | 4.2.25 |
| 4.3~4.3.20 | 4.3.21 |
| 4.4~4.4.19 | 4.4.20 |
| 4.5~4.5.18 | 4.5.19 |
| 4.6~4.6.15 | 4.6.16 |
| 4.7~4.7.14 | 4.7.15 |
| 4.8~4.8.10 | 4.8.11 |
| 4.9~4.9.11 | 4.9.12 |
| 5.0~5.0.6 | 5.0.7 |
| 5.1~5.1.2 | 5.1.3 |
| 5.2~5.2.3 | 5.2.4 |
テーマに関しましては、2件脆弱性が発生しております。
「SoundPress」と「Bridge Theme」というテーマから、それぞれにXSSとREDIRECTの脆弱性が発見されました。
脆弱性はすでにアップデートによって修正済みで、それぞれバージョン「3.0.0」と「18.2.1」以上への更新によって塞ぐことができます。
また、「Bridge Theme」においては付随しているプラグインにも脆弱性が発生しているのでご注意ください。
プラグインに関しましては先月から4件増加し、28件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。
アクティブインストール200万以上、総ダウンロード数6365万以上の人気プラグイン『All In One SEO Pack』にXSSの脆弱性が発生しております。
このプラグインは、様々なSEO対策ができるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.2.7以上への更新によって塞ぐことができます。
(※2019年11月28日現在の最新版はバージョン3.3.3ですので、こちらの最新版への更新をお勧めします。)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Export Users to CSVにて複数の脆弱性
- Popup-MakerにてAUTHBYPASS
- EU Cookie LawにてXSS
- Events ManagerにてXSS
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで14件、2位がSQLIで4件、3位がREDIRECTで3件でした。
トピックス
今月もXSSの脆弱性が一番発生しており、十分に注意が必要です。
脆弱性一覧
2019年10月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2019年10月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | CSRF | Admin Referrer Validation | 5.2.3 |
| 本体 | UNKNOWN | JSON Request Cache Poisoning | 5.2.3 |
| 本体 | SSRF | Server-Side Request Forgery (SSRF) in URL Validation | 5.2.3 |
| 本体 | XSS | Stored XSS in Customizer | 5.2.3 |
| 本体 | XSS | Stored XSS in Style Tags | 5.2.3 |
| 本体 | BYPASS | Unauthenticated View Private/Draft Posts | 5.2.3 |
| プラグイン | BYPASS | Currency Switcher for Woocommerce | 2.11.2 |
| プラグイン | SQLI | WP Google Review Slider | 6.1 |
| プラグイン | PRIVESC | YIT Plugin Framework | 3.3.8 |
| プラグイン | MULTI | Give WP | 2.5.10 |
| プラグイン | XSS | About Author | 1.3.9 |
| プラグイン | HTML Injection | Email Templates | 1.3.1 |
| プラグイン | HTML Injection | WP Email Template | 2.2.11 |
| プラグイン | HTML Injection | WP HTML Mail | 2.9.1 |
| プラグイン | SQLI | Groundhogg | 1.3.11.3 |
| プラグイン | XSS | SyntaxHighlighter Evolved | 3.5.0 |
| プラグイン | REDIRECT | Bridge Theme | 18.2 |
| プラグイン | XSS | Sliced Invoices | 3.8.2 |
| プラグイン | SQLI | Sliced Invoices | 3.8.2 |
| プラグイン | CSRF | Sliced Invoices | 3.8.2 |
| プラグイン | XSS | All In One SEO Pack | 3.2.7 |
| プラグイン | XSS | EU Cookie Law | 3.0.6 |
| プラグイン | XSS | Events Manager | 5.9.6 |
| プラグイン | FPD | Fast Velocity Minify | 2.7.7 |
| プラグイン | XSS | Broken Link Checker | 1.11.8 |
| プラグイン | XSS | Zoho CRM Lead Magnet Plugin | 1.6.9.1 |
| プラグイン | XSS | Lara Google Analytics | 2.0.4 |
| プラグイン | AUTHBYPASS | Popup-Maker | 1.8.12 |
| プラグイン | XSS | wpDataTables | 2.0.7 |
| プラグイン | SQLI | wpDataTables | 2.0.7 |
| プラグイン | AUTHBYPASS | iThemes Sync | 2.0.17 |
| プラグイン | REDIRECT | All In One WP Security & Firewall | 4.4.1 |
| プラグイン | MULTI | Export Users to CSV | 1.4 |
| プラグイン | XSS | Download Plugins and Themes from Dashboard | 1.5.0 |
| テーマ | XSS | SoundPress | 2.2.6 |
| テーマ | REDIRECT | Bridge Theme | 18.2 |