WordPress 2020年3月_脆弱性レポート 2020/4/3
2020年3月度のWordPressに関する脆弱性レポートをお知らせします。
3月度全体の脆弱性報告件数としては48件となっており、2020年2月度から23件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが1件、プラグインが47件でした。
本体に関しまして、今月は脆弱性が発生しませんでした。
テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
また、最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。
トピックス
前述のとおり本体に関しましては、脆弱性が発生しませんでした。
テーマに関しましては、1件脆弱性が発生しております。
「Fruitful」というテーマから、XSSを含む複数の脆弱性が発見されました。
脆弱性はすでにアップデートによって修正済みで、バージョン3.8.2以上への更新によって塞ぐことができます。
プラグインに関しましては先月から23件増加し、47件の脆弱性が発見されました。そのうち3件の有名プラグインに脆弱性が発見されております。
1つ目は、アクティブインストール400万以上、総ダウンロード数5153万以上の人気プラグイン『Elementor Page Builder』にAUTHBYPASSの脆弱性が発生しております。
このプラグインは、ドラッグ&ドロップでページのカスタマイズができるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン2.9.6以上への更新によって塞ぐことができます。
(※2020年4月3日現在の最新版はバージョン2.9.7ですので、こちらの最新版への更新をお勧めします。)
2つ目は、アクティブインストール300万以上、総ダウンロード数4207万以上の人気プラグイン『WPForms』にXSSの脆弱性が発生しております。
このプラグインは、お問い合わせフォームを設置できるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン1.5.9以上への更新によって塞ぐことができます。
(※2020年4月3日現在の最新版はバージョン1.5.9.5ですので、こちらの最新版への更新をお勧めします。)
3つ目は、アクティブインストール200万以上、総ダウンロード数3119万以上の人気プラグイン『All-in-One WP Migration』にPRIVESCの脆弱性が発生しております。
このプラグインは、WordPressサイトの引越しができるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン7.15以上への更新によって塞ぐことができます。
(※2020年4月3日現在の最新版はバージョン7.18ですので、こちらの最新版への更新をお勧めします。)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Custom Post Type UIにてXSSとCSRF
- NewsletterにてCSV Injection
- Rank MathにてREDIRECT
- Popup BuilderにてXSS
内容別レポート
脆弱性の内容別発生件数は、1位がCSRFで11件、2位がXSSで9件、3位がPRIVESCで8件でした。
トピックス
CSRFの発生件数が一番多く、比較的珍しい月となりました。
それでも、XSSの脆弱性が多く発見されていますので、十分に注意が必要です。
脆弱性一覧
2020年3月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2020年3月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | AUTHBYPASS | Elementor Page Builder | 2.9.6未満 |
| プラグイン | RCE | LifterLMS | 3.37.15未満 |
| プラグイン | REDIRECT | Rank Math | 1.0.41未満 |
| プラグイン | XSS | CM Pop-Up banners | 1.4.11未満 |
| プラグイン | AUTHBYPASS | IMPress for IDX Broker | 2.6.2未満 |
| プラグイン | PRIVESC | All-in-One WP Migration | 7.15未満 |
| プラグイン | RCE | Product Lister for Walmart | 1.0.0以下 |
| プラグイン | LFI | Buddypress Component Stats | – |
| プラグイン | LFI | web-portal-lite-client-portal-secure-file-sharing-private-messaging | – |
| プラグイン | LFI | abstract-submission | – |
| プラグイン | LFI | Post PDF Export | – |
| プラグイン | LFI | blogtopdf | – |
| プラグイン | LFI | gboutique | – |
| プラグイン | LFI | wp-ecommerce-shop-styling | – |
| プラグイン | XSS | Data Tables Generator By Supsystic | 1.9.92未満 |
| プラグイン | PRIVESC | Data Tables Generator By Supsystic | 1.9.92未満 |
| プラグイン | CSRF | Data Tables Generator By Supsystic | 1.9.92未満 |
| プラグイン | XSS | Cookiebot | 3.6.1未満 |
| プラグイン | CSRF | WPvivid Backup | 0.9.36未満 |
| プラグイン | BYPASS | Gutenberg & Elementor Templates Importer For Responsive | 2.2.6未満 |
| プラグイン | XSS | Advanced Ads | 1.17.4未満 |
| プラグイン | CSRF | Custom Post Type UI | 1.7.4未満 |
| プラグイン | XSS | Custom Post Type UI | 1.7.4未満 |
| プラグイン | PRIVESC | LearnPress | 3.2.6.7未満 |
| プラグイン | CSV Injection | Newsletter | 6.5.4未満 |
| プラグイン | TRAVERSAL | WordPress File Upload | 4.13.0未満 |
| プラグイン | XSS | Popup Builder | 3.64.1未満 |
| プラグイン | CSRF | Order Export & Order Import for WooCommerce | 1.6.1未満 |
| プラグイン | CSRF | Product Import Export for WooCommerce | 1.7.5未満 |
| プラグイン | CSRF | Order XML File Export Import for WooCommerce | 1.3.1未満 |
| プラグイン | CSRF | Product Reviews Import Export for WooCommerce | 1.3.3未満 |
| プラグイン | CSRF | XML File Export Import for Stamps.com and WooCommerce | 1.1.9未満 |
| プラグイン | CSRF | WordPress Comments Import & Export | 2.1.11未満 |
| プラグイン | UNKNOWN | Font Awesome | 4.0.0-RC15 & RC16 |
| プラグイン | PRIVESC | MStore API | 2.1.6未満 |
| プラグイン | CSV Injection | Search Meter | 2.13.2以下 |
| プラグイン | PRIVESC | Import Export WordPress Users | 1.3.9未満 |
| プラグイン | CSRF | WPML | 4.3.7未満 |
| プラグイン | PRIVESC | WP Security Audit Log | 4.0.2未満 |
| プラグイン | PRIVESC | Custom Searchable Data Entry System | 1.7.1以下 |
| プラグイン | PRIVESC | Brizy – Page Builder | 1.0.114未満 |
| プラグイン | CSRF | RegistrationMagic – Custom Registration Forms and User Login | 4.6.0.4未満 |
| プラグイン | RCE | WP Advanced Search | 3.3.4未満 |
| プラグイン | XSS | WPForms | 1.5.9未満 |
| プラグイン | XSS | Appointment Booking Calendar | 1.3.35未満 |
| プラグイン | BYPASS | WooCommerce Smart Coupons | 4.6.5未満 |
| プラグイン | XSS | Testimonial | 2.1.7未満 |
| テーマ | MULTI | Fruitful | 3.8.2未満 |