WordPress 2020年7月_脆弱性レポート 2020/8/7
2020年7月度のWordPressに関する脆弱性レポートをお知らせします。
7月度全体の脆弱性報告件数としては42件となっており、2020年6月度から15件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが17件、プラグインが25件でした。
本体に関しましては、今月は脆弱性が発生しませんでした。
テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
最多発生はプラグインとなります。プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
前述のとおり本体に関しましては、脆弱性が発生しませんでした。
テーマに関しましては、17件脆弱性が発生しております。
該当するテーマについては、「脆弱性一覧」にて後述しております。
プラグインに関しましては先月から10件増加し、25件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。
以下、2件のプラグインについて詳述します。
1つ目は、アクティブインストール300万以上、総ダウンロード数4937万以上の人気プラグイン『WPForms』にXSSの脆弱性が発生しております。
このプラグインは、欲しい機能をドラッグ & ドロップで追加できるコンタクトフォームプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン1.6.0.2以上への更新によって塞ぐことができます。
(※2020年8月6日現在の最新版はバージョン1.6.1ですのでこちらの最新版への更新を推奨します。)
2つ目は、アクティブインストール200万以上、総ダウンロード数6970万以上の人気プラグイン『All in One SEO Pack』にXSSの脆弱性が発生しております。
このプラグインは、基礎的なSEO対策が一括して管理できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.6.2以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- NewsletterにてXSS
- Form Maker by 10WebにてXSS
- KingComposerにてXSS
- Email Subscribers & NewslettersにてCSRFとSQLI
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで31件、2位がSQLiで4件、3位がOthersで3件でした。
トピックス
XSSの発生件数が一番多く、二番目にSQLiと、例月通りの傾向です。
脆弱性一覧
2020年7月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2020年7月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | XSS | Gallery PhotoBlocks | 1.2.0未満 |
| プラグイン | XSS | Quiz And Survey Master | 7.0.0未満 |
| プラグイン | UPLOAD | Comments – wpDiscuz | 7.0.0 – 7.0.4 |
| プラグイン | XSS | WooCommerce Subscriptions | 2.6.3未満 |
| プラグイン | CSRF | JobSearch | 1.2.10未満 |
| プラグイン | CSRF | Social Sharing Plugin | 1.2.10未満 |
| プラグイン | XSS | TC Custom JavaScript | 1.2.2未満 |
| プラグイン | CSRF | Email Subscribers & Newsletters | 4.5.1未満 |
| プラグイン | SQLI | Email Subscribers & Newsletters | 4.5.1未満 |
| プラグイン | XSS | All in One SEO Pack | 3.6.2未満 |
| プラグイン | AUTHBYPASS | Email Verification for WooCommerce | 1.8.2未満 |
| プラグイン | XSS | SendPress Newsletter | 1.20.7.13未満 |
| プラグイン | XSS | Form Maker by 10Web | 1.13.40未満 |
| プラグイン | XSS | Newsletter | 6.7.7未満 |
| プラグイン | XSS | WP-Live Chat by 3CX | 8.2.0未満 |
| プラグイン | SQLI | SRS Simple Hits Counter | 1.0.4以下 |
| プラグイン | XSS | KingComposer | 2.9.5未満 |
| プラグイン | XSS | Knight Lab Timeline | 3.7.0.0未満 |
| プラグイン | XSS | Powie’s WHOIS Domain Check | 0.9.33未満 |
| プラグイン | INJECTION | Wise Chat | 2.8.4未満 |
| プラグイン | ACCESS CONTROLS | Adning Advertising | 1.5.6未満 |
| プラグイン | MULTI | Security & Malware scan by CleanTalk | 2.51未満 |
| プラグイン | XSS | Testimonials Widget | 3.5.1以下 |
| プラグイン | SQLI | Payment Form For Paypal Pro | 1.1.65未満 |
| プラグイン | XSS | WPForms | 1.6.0.2未満 |
| テーマ | XSS | JobCareer | 3.5未満 |
| テーマ | XSS | Reality | 2.5.6未満 |
| テーマ | XSS | CarePlus | 1.2以下 |
| テーマ | XSS | Real Estate 7 | 3.0.4未満 |
| テーマ | XSS | Careerfy | 4.4.0以下 |
| テーマ | XSS | Golo | 1.3.3未満 |
| テーマ | XSS | Findgo | 1.3.32未満 |
| テーマ | XSS | Findus | 1.1.15未満 |
| テーマ | XSS | Jetapo | 1.1未満 |
| テーマ | XSS | Kormosala | 1.0.23未満 |
| テーマ | XSS | Prolisting | 1.27未満 |
| テーマ | XSS | Workio | 1.0.3未満 |
| テーマ | XSS | Workup | 2.1.6未満 |
| テーマ | XSS | InJob | 3.4.1未満 |
| テーマ | SQLI | Traveler | 2.8.4未満 |
| テーマ | XSS | Monalisa | 2.1.3未満 |
| テーマ | XSS | Careerup | 2.3.1未満 |