WordPress 2020年6月_脆弱性レポート 2020/7/9
2020年6月度のWordPressに関する脆弱性レポートをお知らせします。
6月度全体の脆弱性報告件数としては27件となっており、2020年5月度から4件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が6件、テーマが6件、プラグインが15件でした。
本体に関しまして、今月は脆弱性が発生しております。
2020年4月以来の発生となります。
テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
最多発生はプラグインとなります。プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
前述のとおり本体に関しましては、脆弱性が6件発生しております。
バージョン5.4.1以下において複数の脆弱性が確認されています。
すでに対策バージョン5.4.2がセキュリティ&メンテナンスリリースされており、23件のバグ修正やセキュリティ強化が施されました。
(参照リンク:WordPress 5.4.2)
対策版に関しましては下表のとおりです。
| 現在ご利用のバージョン | 対策済みバージョン |
| 3.7~3.7.33 | 3.7.34 |
| 3.8~3.8.33 | 3.8.34 |
| 3.9~3.9.31 | 3.9.32 |
| 4.0~4.0.30 | 4.0.31 |
| 4.1~4.1.30 | 4.1.31 |
| 4.2~4.2.27 | 4.2.28 |
| 4.3~4.3.23 | 4.3.24 |
| 4.4~4.4.22 | 4.4.23 |
| 4.5~4.5.21 | 4.5.22 |
| 4.6~4.6.18 | 4.6.19 |
| 4.7~4.7.17 | 4.7.18 |
| 4.8~4.8.13 | 4.8.14 |
| 4.9~4.9.14 | 4.9.15 |
| 5.0~5.0.1 | 5.0.10 |
| 5.1~5.1.5 | 5.1.6 |
| 5.2~5.2.6 | 5.2.7 |
| 5.3~5.3.3 | 5.3.4 |
| 5.4~5.4.1 | 5.4.2 |
テーマに関しましては、6件脆弱性が発生しております。
該当するテーマについては、「脆弱性一覧」にて後述しております。
すべて対策バージョンがすでに公開されており、対策されたバージョン以上に更新することによって対策することができます。
プラグインに関しましては先月から15件減少し、15件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。
以下、2件のプラグインについて詳述します。
1つ目は、アクティブインストール500万以上、総ダウンロード数9416万以上の人気プラグイン『WooCommerce』にXSSの脆弱性が発生しております。
このプラグインは、EC機能を追加できるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン4.2.1以上への更新によって塞ぐことができます。
(※2020年7月9日現在の最新版はバージョン4.2.2ですのでこちらの最新版への更新を推奨します。)
2つ目は、アクティブインストール100万以上、総ダウンロード数6135万以上の人気プラグイン『Elementor Page Builder』にXSSの脆弱性が発生しております。
このプラグインは、固定ページやランディングページの作成に便利なプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン2.9.10以上への更新によって塞ぐことができます。
(※2020年7月9日現在の最新版はバージョン2.9.13ですのでこちらの最新版への更新を推奨します。)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- Coming Soon Page, Under Construction & Maintenance Mode by SeedProdにてPRIVESC
- YITH WooCommerce Ajax Product FilterにてSQLI
- KingComposerにてXSS
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで17件、2位がSQLiとCSRFで3件、3位がPRIVESCで2件でした。
トピックス
XSSの発生件数が一番多く、二番目にSQLiと、例月通りの傾向です。
脆弱性一覧
2020年6月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2020年6月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | XSS | block editor | 5.4.2未満 |
| 本体 | XSS | media files | 5.4.2未満 |
| 本体 | XSS | Open Redirection | 5.4.2未満 |
| 本体 | XSS | theme uploads | 5.4.2未満 |
| 本体 | SENSITIVE DATA DISCLOSURE | Disclosure of Password-Protected Page/Post Comments | 5.4.2未満 |
| 本体 | PRIVESC | Misuse of set-screen-option Leading to Privilege Escalation | 5.4.2未満 |
| プラグイン | XSS | JobSearch | 1.5.1未満 |
| プラグイン | SQLI | AdRotate | 5.8.4未満 |
| プラグイン | XSS | Elementor Page Builder | 2.9.10未満 |
| プラグイン | XSS | SportsPress | 2.7.2未満 |
| プラグイン | PRIVESC | Brizy – Page Builder | 1.0.126未満 |
| プラグイン | SQLI | wpDiscuz | 5.3.6未満 |
| プラグイン | XSS | KingComposer | 2.9.4未満 |
| プラグイン | CSRF | Delete All Comments Easily | 1.3以下 |
| プラグイン | XSS | Testimonial Rotator | 3.0.3未満 |
| プラグイン | CSRF | All in One Support Button | 1.8.8未満 |
| プラグイン | XSS | YITH WooCommerce Ajax Product Filter | 3.11.1未満 |
| プラグイン | CSRF | WP-Pro-Quiz | 0.37以下 |
| プラグイン | XSS | WooCommerce | 4.2.1未満 |
| プラグイン | XSS | Coming Soon Page, Under Construction & Maintenance Mode by SeedProd | 5.1.2未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | ACF to REST API | 3.3.0未満 |
| テーマ | XSS | Careerfy | 3.9.0未満 |
| テーマ | XSS | Newspaper | 10.3.4未満 |
| テーマ | XSS | Travel Booking | 2.8.2未満 |
| テーマ | XSS | TownHub | 1.3.0未満 |
| テーマ | XSS | CityBook | 2.4.4未満 |
| テーマ | SQLI | Nexos – Real Estate | 1.8未満 |