WordPress 2020年9月_脆弱性レポート 2020/10/19
2020年9月度のWordPressに関する脆弱性レポートをお知らせします。
9月度全体の脆弱性報告件数としては28件となっており、2020年8月度から17件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが2件、プラグインが26件でした。
本体に関しましては、今月は脆弱性が発生しませんでした。
テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
最多発生はプラグインとなります。プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
前述のとおり本体に関しましては、脆弱性が発生しませんでした。
テーマに関しましては、2件脆弱性が発生しております。
該当するテーマについては、「脆弱性一覧」にて後述しております。
プラグインに関しましては先月から14件減少し、26件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
アクティブインストール100万以上、総ダウンロード数2371万以上の人気プラグイン『Ninja Forms』にCSRFの脆弱性が発生しております。
このプラグインは、お問い合わせフォームなどを作成するプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.4.27.1以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- MetaSliderにてXSS
- Email Subscribers & NewslettersにてACCESS CONTROLS
- All In One WP Security & FirewallにてXSS
- Sticky Menu, Sticky Header (or anything!) on Scroll にてXSS
- NextScripts: Social Networks Auto-PosterにてACCESS CONTROLS
- File ManagerにてUPLOAD
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで10件、2位がOthersで6件、3位がCSRFで5件でした。
トピックス
XSSの発生件数が一番多く、その次にOthersやCSRFに関する脆弱性が多い傾向です。
脆弱性一覧
2020年9月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2020年9月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | SQLI | Slider by 10Web | 1.2.36未満 |
| プラグイン | ACCESS CONTROLS | wp-courses | 2.0.29未満 |
| プラグイン | ACCESS CONTROLS | Simple:Press | 6.6.1未満 |
| プラグイン | ACCESS CONTROLS | Coditor | 1.1以下 |
| プラグイン | CSRF | Ninja Forms | 3.4.27.1未満 |
| プラグイン | RCE | XCloner Backup and Restore | 4.2.1 – 4.2.12 |
| プラグイン | CSRF | XCloner Backup and Restore | 4.2.153未満 |
| プラグイン | UPLOAD | Drag and Drop Multiple File Upload – Contact Form 7 | 2.7.7未満 |
| プラグイン | XSS | MetaSlider | 3.17.2未満 |
| プラグイン | AUTHBYPASS | Discount Rules for WooCommerce | 2.2.1未満 |
| プラグイン | CSRF | WP Hotel Booking | 1.10.2未満 |
| プラグイン | XSS | Affiliate Manager | 2.7.8未満 |
| プラグイン | SQLI | 10Web Social Post Feed | 1.1.27未満 |
| プラグイン | ACCESS CONTROLS | Email Subscribers & Newsletters | 4.5.6未満 |
| プラグイン | XSS | Elementor Addon Elements | 1.6.4未満 |
| プラグイン | XSS | Absolutely Glamorous Custom Admin | 6.5.5未満 |
| プラグイン | XSS | All In One WP Security & Firewall | 4.4.4未満 |
| プラグイン | XSS | Cookiebot | 3.6.1未満 |
| プラグイン | XSS | LearnPress | 3.2.7.3未満 |
| プラグイン | XSS | Sticky Menu, Sticky Header (or anything!) on Scroll | 2.21未満 |
| プラグイン | XSS | Asset CleanUp: Page Speed Booster | 1.3.6.7未満 |
| プラグイン | CSRF | ActiveCampaign | 8.0.2未満 |
| プラグイン | SQLI | Advanced Database Cleaner | 3.0.2未満 |
| プラグイン | XSS | Constant Contact Forms | 1.8.8未満 |
| プラグイン | ACCESS CONTROLS | NextScripts: Social Networks Auto-Poster | 4.3.18未満 |
| プラグイン | UPLOAD | File Manager | 6.9未満 |
| テーマ | SENSITIVE DATA DISCLOSURE | JobMonster | 4.6.6.1未満 |
| テーマ | CSRF | Huemanl | 1.10.2未満 |