WordPress 2019年12月_脆弱性レポート 2020/1/27
2019年12月度のWordPressに関する脆弱性レポートをお知らせします。
12月度全体の脆弱性報告件数としては23件となっており、2019年11月度から5件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が4件、テーマが3件、プラグインが16件でした。
本体に関しまして、今月は脆弱性が発生しております。
10月以来の発生となります。
テーマに関しましても、先月に引き続き脆弱性が発生しております。
また、最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。
トピックス
前述のとおり本体に関しましては、脆弱性が4件発生しております。
ブログにて速報しております通り、バージョン5.3以下において複数の脆弱性が確認されています。
すでに対策バージョン5.3.1がセキュリティ&メンテナンスリリースされており、46件のバグ修正やセキュリティ強化が施されました。
(参照リンク:WordPress 5.3.1 Security and Maintenance Release)
対策版に関しましては下表のとおりです。
| 現在ご利用のバージョン | 対策済みバージョン |
| 1.0~3.6.1 | 5.3.1 |
| 3.7~3.7.31 | 3.7.32 |
| 3.8~3.8.31 | 3.8.32 |
| 3.9~3.9.29 | 3.9.30 |
| 4.0~4.0.28 | 4.0.29 |
| 4.1~4.1.28 | 4.1.29 |
| 4.2~4.2.25 | 4.2.26 |
| 4.3~4.3.21 | 4.3.22 |
| 4.4~4.4.20 | 4.4.21 |
| 4.5~4.5.19 | 4.5.20 |
| 4.6~4.6.16 | 4.6.17 |
| 4.7~4.7.15 | 4.7.16 |
| 4.8~4.8.11 | 4.8.12 |
| 4.9~4.9.12 | 4.9.13 |
| 5.0~5.0.7 | 5.0.8 |
| 5.1~5.1.3 | 5.1.4 |
| 5.2~5.2.4 | 5.2.5 |
| 5.3 | 5.3.1 |
テーマに関しましては、3件脆弱性が発生しております。
「Mesmerize」と「Materialis」というテーマから、権限の低いユーザーがサイトオプションを更新できるようになる脆弱性が発見されました。
脆弱性はすでにアップデートによって修正済みで、それぞれバージョン1.6.90以上、バージョン1.0.173以上への更新によって塞ぐことができます。
また、「Superlist」というテーマから、XSSの脆弱性が発見されました。
こちらのテーマは現在削除されております。
プラグインに関しましては先月から1件減少し、16件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。
アクティブインストール10万以上、総ダウンロード数107万以上の人気プラグイン『GDPR Cookie Compliance』にPRIVESCの脆弱性が発生しております。
このプラグインは、Cookieの制限を導入することができるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン4.0.3以上への更新によって塞ぐことができます。
(※2020年1月27日現在の最新版はバージョン4.1.4ですので、こちらの最新版への更新をお勧めします。)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Featured Image from URLにてPRIVESC
- 301 Redirects – Easy Redirect ManagerにてBYPASS
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで10件、2位がCSRFとPRIVESCで4件でした。
トピックス
PRIVESCの発生件数がいつもより多い月となりました。
また、今月もXSSの脆弱性が一番発生しており、十分に注意が必要です。
脆弱性一覧
2019年12月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2019年12月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | PRIVESC | Improper Access Controls | 5.3 |
| 本体 | XSS | Block Editor Content | 5.3 |
| 本体 | XSS | Crafted Links | 5.3 |
| 本体 | XSS | wp_kses_bad_protocol() | 5.3 |
| プラグイン | XSS | Donorbox | 7.1~7.1.1 |
| プラグイン | PRIVESC | Photo Gallery – Image Gallery by Ape | 2.0.6 |
| プラグイン | PRIVESC | GDPR Cookie Compliance | 4.0.2 |
| プラグイン | CSRF | bbPress Members Only | 1.2.1 |
| プラグイン | XSS | WP Accessibility | 1.7.0 |
| プラグイン | CSRF | bbPress Login Register Links On Forum Topic Pages | 2.7.5 |
| プラグイン | XSS | bbPress Login Register Links On Forum Topic Pages | 2.7.5 |
| プラグイン | PRIVESC | Featured Image from URL | 2.7.7 |
| プラグイン | CSRF | Rencontre | 3.2.2 |
| プラグイン | BYPASS | 301 Redirects – Easy Redirect Manager | 2.40 |
| プラグイン | CSRF | Ultimate Auction | 4.0.6 |
| プラグイン | XSS | Ultimate Auction | 4.0.6 |
| プラグイン | AUTHBYPASS | Ultimate Addons for Beaver Builder | 1.24.0 |
| プラグイン | AUTHBYPASS | Ultimate Addons for Elementor | 1.20.0 |
| プラグイン | XSS | Scoutnet Kalender | 1.1.0 |
| プラグイン | XSS | CSS Hero | 4.03 |
| テーマ | UNKNOWN | Mesmerize | 1.6.89 |
| テーマ | UNKNOWN | Materialis | 1.0.172 |
| テーマ | XSS | Superlist | 2.9.2 |