WordPress 2020年8月_脆弱性レポート 2020/9/28
2020年8月度のWordPressに関する脆弱性レポートをお知らせします。
8月度全体の脆弱性報告件数としては45件となっており、2020年7月度から3件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが7件、プラグインが38件でした。
本体に関しましては、今月は脆弱性が発生しませんでした。
テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
最多発生はプラグインとなります。プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
前述のとおり本体に関しましては、脆弱性が発生しませんでした。
テーマに関しましては、7件脆弱性が発生しております。
該当するテーマについては、「脆弱性一覧」にて後述しております。
プラグインに関しましては先月から13件増加し、38件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
アクティブインストール100万以上、総ダウンロード数1544万以上の人気プラグイン『Autoptimize』にUPLOADの脆弱性が発生しております。
このプラグインは、CSSやJSなどのリソースを軽量・最適化するプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン2.7.7以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- FooGalleryにてXSS
- Advanced Access ManagerにてBYPASS
- Ultimate MemberにてREDIRECT
- Add From ServerにてTRAVERSAL
- CMP – Coming Soon & MaintenanceにてACCESS CONTROLS
- NewsletterにてXSS
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで28件、2位がOthersで5件、3位がRCEとSQLIで3件でした。
トピックス
XSSの発生件数が一番多く、その次にACCESS CONTROLSやUPLOADに関する脆弱性が多い傾向です。
脆弱性一覧
2020年8月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2020年8月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | XSS | Bulk Change | 1.0以下 |
| プラグイン | XSS | Ceceppa Multilingu | 1.5.17以下 |
| プラグイン | USQLI | Recall Products | 0.8以下 |
| プラグイン | XSS | Subscribe Sidebar | 1.3.1以下 |
| プラグイン | XSS | WP Floating Menu | 1.4.1未満 |
| プラグイン | XSS | WP Smart CRM & Invoices FREE | 1.8.7以下 |
| プラグイン | UPLOAD | Quiz and Survey Master | 7.0.2未満 |
| プラグイン | XSS | FooGallery | 1.9.25未満 |
| プラグイン | UPLOAD | Autoptimize | 2.7.7未満 |
| プラグイン | SQLI | RSVPMaker | 7.8.2未満 |
| プラグイン | ACCESS CONTROLS | Contact Form – Form builder by Kali Forms | 2.1.2未満 |
| プラグイン | BYPASS | WooCommerce – NAB Transact | 2.1.2未満 |
| プラグイン | BYPASS | Advanced Access Manager | 6.6.2未満 |
| プラグイン | MULTI | Discount Rules for WooCommerce | 2.1.0未満 |
| プラグイン | XSS | WP Customer Reviews | 3.4.3未満 |
| プラグイン | XSS | Change WordPress Login Logo | 1.1.4以下 |
| プラグイン | XSS | Click to Top | 1.2.7以下 |
| プラグイン | XSS | Elegant Testimonial | 1.1.6以下 |
| プラグイン | XSS | Internal Links Manager | 2.0.2以下 |
| プラグイン | XSS | Easy Media Download | 1.1.5未満 |
| プラグイン | XSS | NextGEN Gallery Sell Photo | 1.0.4以下 |
| プラグイン | MULTI | Security & Malware scan by CleanTalk | 2.51未満 |
| プラグイン | XSS | Responsive Lightbox2 | 1.0.3未満 |
| プラグイン | XSS | Sell Photo | 1.0.5以下 |
| プラグイン | XSS | Colorbox Lightbox | 1.1.2以下 |
| プラグイン | XSS | Fancy Lightbox | 1.0.2未満 |
| プラグイン | XSS | Sell Media | 2.4.2未満 |
| プラグイン | REDIRECT | Ultimate Member | 2.1.7未満 |
| プラグイン | TRAVERSAL | Add From Server | 3.3.3以下 |
| プラグイン | XSS | Admin Menu | 1.1以下 |
| プラグイン | SQLI | Cardoza WordPress Poll | 36以下 |
| プラグイン | XSS | RSS Feed Widget | 2.8.1未満 |
| プラグイン | XSS | Ultimate Appointment Booking & Scheduling | 1.1.10未満 |
| プラグイン | XSS | Very Simple Quiz | 1.0.0以下 |
| プラグイン | ACCESS CONTROLS | CMP – Coming Soon & Maintenance | 3.8.2未満 |
| プラグイン | ACCESS CONTROLS | The Official WordPress Facebook Chat Plugin | 1.6未満 |
| プラグイン | RCE | Elegant Themes(Divi Builder) | 2.0 – 4.5.2 |
| プラグイン | XSS | Newsletter | 6.8.2未満 |
| プラグイン | ACCESS CONTROLS | Product Input Fields for WooCommerce | 1.2.7未満 |
| テーマ | SQLI | Geo Magazine | 2.0 以下 |
| テーマ | XSS | Home Villas | 2.2以下 |
| テーマ | XSS | Nova Lite | 1.3.9未満 |
| テーマ | XSS | Konzept | 2.5未満 |
| テーマ | XSS | FoodBakery | 2.0未満 |
| テーマ | XSS | Elegant Themes(Divi) | 3.0 – 4.5.2 |
| テーマ | XSS | Elegant Themes(Extra) | 2.0 – 4.5.2 |