WordPress 2020年1月_脆弱性レポート 2020/2/4
2020年1月度のWordPressに関する脆弱性レポートをお知らせします。
1月度全体の脆弱性報告件数としては48件となっており、2019年12月度から25件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが13件、プラグインが35件でした。
本体に関しまして、今月は脆弱性が発生しませんでした。
テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
また、最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。
トピックス
前述のとおり本体に関しましては、脆弱性が発生しませんでした。
テーマに関しましては、13件脆弱性が発生しております。
該当するテーマについては、「脆弱性一覧」にて後述しております。
すべて対策バージョンがすでに公開されており、脆弱性が発見されたバージョン以上に更新することによって対策することができます。
プラグインに関しましては先月から19件増加し、35件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。
アクティブインストール400万以上、総ダウンロード数4500万以上の人気プラグイン『Elementor Page Builder』にXSSの脆弱性が発生しております。
このプラグインは、WordPressの固定ページやランディングページのカスタマイズをドラッグ&ドロップでできるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン2.8.5以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- WPS Hide LoginにてBYPASS
- FlamingoにてCSV Injection
- InfiniteWP ClientにてAUTHBYPASS
- Code SnippetsにてCSRF
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで22件、2位がその他で8件でした。
トピックス
テーマにおいて「複数の脆弱性」が多く発生したため、「その他」の割合が高い月となりました。
また、今月もXSSの脆弱性が一番発生しており、十分に注意が必要です。
脆弱性一覧
2020年1月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2020年1月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | XSS | GistPress | 3.0.2未満 |
| プラグイン | CSRF | Code Snippets | 2.14.0未満 |
| プラグイン | XSS | Elementor Page Builder | 2.7.6未満 |
| プラグイン | XSS | Elementor Page Builder | 2.8.5未満 |
| プラグイン | BYPASS | WPS Hide Login | 1.5.5未満 |
| プラグイン | PRIVESC | wpCentral | 1.4.8未満 |
| プラグイン | XSS | WP DS FAQ Plus | 1.4.2未満 |
| プラグイン | XSS | Calculated Fields Form | 1.0.354未満 |
| プラグイン | XSS | Contact Form Clean and Simple | 4.7.0以下 |
| プラグイン | RCE | AccessAlly | 3.3.2未満 |
| プラグイン | XSS | Chatbot with IBM Watson | 0.8.21未満 |
| プラグイン | PRIVESC | 2J SlideShow | 1.3.40未満 |
| プラグイン | XSS | Batch-Move Posts | 1.5以下 |
| プラグイン | XSS | Contextual Adminbar Color | 0.3未満 |
| プラグイン | CSRF | Marketo Forms and Tracking | 1.0.2以下 |
| プラグイン | XSS | Marketo Forms and Tracking | 1.0.2以下 |
| プラグイン | XSS | Chained Quiz | 1.1.8.2未満 |
| プラグイン | XSS | Resim Ara | 3.0以下 |
| プラグイン | PRIVESC | WP Database Reset | 3.15未満 |
| プラグイン | AUTHBYPASS | WP Database Reset | 3.15未満 |
| プラグイン | CSV Injection | Flamingo | 2.1.1未満 |
| プラグイン | XSS | LearnDash | 3.1.2未満 |
| プラグイン | AUTHBYPASS | InfiniteWP Client | 1.9.4.5未満 |
| プラグイン | AUTHBYPASS | Backup and Staging by WP Time Capsule | 1.21.16未満 |
| プラグイン | XSS | Computer Repair Shop | 2.0未満 |
| プラグイン | XSS | Video on Admin Dashboard | 1.1.4未満 |
| プラグイン | PRIVESC | Ultimate Member | 2.1.3未満 |
| プラグイン | CSV Injection | WooCommerce – Store Exporter | 2.4未満 |
| プラグイン | CSRF | Minimal Coming Soon & Maintenance Mode | 2.15未満 |
| プラグイン | BYPASS | Minimal Coming Soon & Maintenance Mode | 2.15未満 |
| プラグイン | BYPASS | Minimal Coming Soon & Maintenance Mode | 2.17未満 |
| プラグイン | XSS | Ultimate FAQ | 1.8.30未満 |
| プラグイン | CSRF | WP Simple Spreadsheet Fetcher For Google | 0.3.7未満 |
| プラグイン | XSS | WooCommerce Conversion Tracking | 2.0.5未満 |
| プラグイン | RCE | Divi-Builder | 4.0.10未満 |
| テーマ | MULTI | CarSpot | 2.2.1未満 |
| テーマ | XSS | ListingPro | 2.5.4未満 |
| テーマ | MULTI | Real Estate 7 | 2.9.5未満 |
| テーマ | XSS | Travel Booking | 2.7.8.6未満 |
| テーマ | XSS | Houzez | 1.8.4未満 |
| テーマ | MULTI | EasyBook | 1.2.2未満 |
| テーマ | MULTI | CityBook | 2.3.4未満 |
| テーマ | MULTI | TownHub | 1.0.6未満 |
| テーマ | RCE | Divi | 4.0.10未満 |
| テーマ | RCE | extra | 4.0.10未満 |
| テーマ | XSS | ListingPro | 2.5.4未満 |
| テーマ | MULTI | Real Estate 7 | 2.9.5未満 |
| テーマ | XSS | Travel Booking | 2.7.8.6未満 |