WordPress 2020年4月_脆弱性レポート 2020/5/11
2020年4月度のWordPressに関する脆弱性レポートをお知らせします。
4月度全体の脆弱性報告件数としては44件となっており、2020年3月度から4件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が6件、テーマが1件、プラグインが37件でした。
本体に関しまして、今月は脆弱性が発生しております。
2019年12月以来の発生となります。
テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
また、最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。
トピックス
前述のとおり本体に関しましては、脆弱性が6件(公式リリース以外を除く)発生しております。
ブログにて速報しております通り、バージョン5.4以下において複数の脆弱性が確認されています。
すでに対策バージョン5.4.1がセキュリティ&メンテナンスリリースされており、17件のバグ修正やセキュリティ強化が施されました。
(参照リンク:WordPress 5.4.1)
対策版に関しましては下表のとおりです。
| 現在ご利用のバージョン | 対策済みバージョン |
| 1.0~3.6.1 | 5.4.1 |
| 3.7~3.7.32 | 3.7.33 |
| 3.8~3.8.32 | 3.8.33 |
| 3.9~3.9.30 | 3.9.31 |
| 4.0~4.0.29 | 4.0.30 |
| 4.1~4.1.29 | 4.1.30 |
| 4.2~4.2.26 | 4.2.27 |
| 4.3~4.3.22 | 4.3.23 |
| 4.4~4.4.21 | 4.4.22 |
| 4.5~4.5.20 | 4.5.21 |
| 4.6~4.6.17 | 4.6.18 |
| 4.7~4.7.16 | 4.7.17 |
| 4.8~4.8.12 | 4.8.13 |
| 4.9~4.9.13 | 4.9.14 |
| 5.0~5.0.8 | 5.0.9 |
| 5.1~5.1.4 | 5.1.5 |
| 5.2~5.2.5 | 5.2.6 |
| 5.3~5.3.2 | 5.3.3 |
| 5.4 | 5.4.1 |
テーマに関しましては、1件脆弱性が発生しております。
「OneTone」というテーマのバージョン3.0.6以下から、XSSの脆弱性が発見されました。
ただし、現状修正バージョンが確認できていませんので、ご利用中の方は十分に注意が必要です。
プラグインに関しましては先月から10件減少し、37件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。
アクティブインストール100万以上、総ダウンロード数2188万以上の人気プラグイン『Ninja Forms』にCSRFの脆弱性が発生しております。
このプラグインは、お問い合わせフォームを簡単に作成できるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.4.24.2以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- GtranslateにてXSS
- Gutenberg Blocks – Ultimate Addons for GutenbergにてPRIVESC
- Real-Time Find and ReplaceにてCSRF
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで21件、2位がSQLiで6件、3位がその他で4件でした。
トピックス
XSSの発生件数が一番多く、二番目にSQLiと、いつも通りの傾向です。
また、今月はその他の項目にてBACKDOORの脆弱性が2件発見されており、十分に注意が必要です。
脆弱性一覧
2020年4月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2020年4月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | XSS | Customizer | 5.4.1未満 |
| 本体 | XSS | File Uploads | 5.4.1未満 |
| 本体 | XSS | Search Block | 5.4.1未満 |
| 本体 | XSS | Wp-object-cache | 5.4.1未満 |
| 本体 | BYPASS | Password Reset Tokens | 5.4.1未満 |
| 本体 | BYPASS | Unauthenticated Users View Private Posts | 5.4.1未満 |
| プラグイン | SQLI | Learnpress | 3.2.6.8未満 |
| プラグイン | CSRF | Ninja Forms | 3.4.24.2未満 |
| プラグイン | XSS | Gmedia Photo Gallery | 1.18.5未満 |
| プラグイン | SQLI | Learnpress | 3.2.6.8未満 |
| プラグイン | PRIVESC | Quick Page/Post redirect | 5.1.9以下 |
| プラグイン | SQLI | WP-Advanced-Search | 3.3.7未満 |
| プラグイン | CSRF | Real-Time Find and Replace | 4.0.2未満 |
| プラグイン | RCE | Simple File List | 4.2.3未満 |
| プラグイン | SQLI | Duplicate Page and Post | 2.5.7未満 |
| プラグイン | SQLI | WP Post Page Clone | 1.0 |
| プラグイン | XSS | YOP Poll | 6.1.5未満 |
| プラグイン | XSS | MapPress Maps | 2.53.9未満 |
| プラグイン | XSS | WP GDPR | 2.1.1以下 |
| プラグイン | BACKDOOR | M-Shield | – |
| プラグイン | BACKDOOR | kingof | – |
| プラグイン | UNKNOWN | Advanced Woo Search | 2.00未満 |
| プラグイン | XSS | Catch Breadcrumb | 1.5.7未満 |
| プラグイン | XSS | Gtranslate | 2.8.52未満 |
| プラグイン | RCE | Media Library Assistant | 2.82未満 |
| プラグイン | XSS | Widget Settings Importer/Exporter | 1.5.3以下 |
| プラグイン | XSS | Accordion | 2.2.9未満 |
| プラグイン | PRIVESC | Responsive Poll | 1.3.4未満 |
| プラグイン | XSS | Support Ticket System By Phoeniixx | 2.7以下 |
| プラグイン | BYPASS | Tickera WordPress Event Ticketing | 3.4.6.9未満 |
| プラグイン | XSS | BigBlueButton | 2.2.4未満 |
| プラグイン | AUTHBYPASS | Klarna Checkout for WooCommerce | 2.0.10未満 |
| プラグイン | PRIVESC | Gutenberg Blocks – Ultimate Addons for Gutenberg | 1.14.8未満 |
| プラグイン | XSS | WP Lead Plus X | 0.99未満 |
| プラグイン | XSS | Car Rental System | 1.3以下 |
| プラグイン | XSS | Online Hotel Booking System Pro | 1.1以下 |
| プラグイン | XSS | WP Last Modified Info | 1.6.6未満 |
| プラグイン | UPLOAD | Art-Picture-Gallery | 1.2.9以下 |
| プラグイン | XSS | Contact Form 7 Datepicker | 2.6.0以下 |
| プラグイン | CSRF | Login by Auth0 | 4.0.0未満 |
| プラグイン | XSS | Login by Auth0 | 4.0.0未満 |
| プラグイン | CSV injection | Login by Auth0 | 4.0.0未満 |
| プラグイン | SQLI | LearnDash | 3.1.6未満 |
| テーマ | XSS | OneTone | 3.0.6以下 |