Pocket

WordPress 2020年11月_脆弱性レポート  2020/12/28

2020年11月度のWordPressに関する脆弱性レポートをお知らせします。

11月度全体の脆弱性報告件数としては31件となっており、2020年10月度から7件増加しております。

個所別レポート

個所別の発生件数は、それぞれ本体が0件、テーマが3件、プラグインが28件でした。

本体に関しまして、今月は脆弱性が発生しておりません。

テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。

最多発生はプラグインとなります。プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

トピックス

テーマに関しましては、3件脆弱性が発生しております。

該当するテーマについては、「脆弱性一覧」にて後述しております。

プラグインに関しましては先月から18件増加し、28件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。

以下、有名プラグインについて詳述します。

アクティブインストール5千万以上、総ダウンロード数1億以上の人気プラグイン『WooCommerce』にACCESS CONTROLSの脆弱性が発生しております。

このプラグインは、世界で最も利用されているECサイト構築プラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン4.6.2以上への更新によって塞ぐことができます。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

  • BuddyPressにてACCESS CONTROLS
  • WP Google Map PluginにてSQLI
  • Anti-Spam by CleanTalkにてSQLI
  • WooCommerce BlocksにてACCESS CONTROLS
  • WP Activity LogにてSQLI

内容別レポート

脆弱性の内容別発生件数は、1位がSQLIで8件、2位がXSSで6件、3位がCSV INJECTION,OBJECT INJECTION,PRIVESCで3件でした。

トピックス

SQLIの発生件数が一番多く、その次にXSSやINJECTIONに関する脆弱性が多い傾向です。

脆弱性一覧

2020年11月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2020年11月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
プラグイン ACCESS CONTROLS BuddyPress 6.4.0未満
プラグイン SQLI WP Google Map Plugin 4.1.3以下
プラグイン SQLI WPJobBoard 5.7.0未満
プラグイン XSS WPJobBoard 5.7.0未満
プラグイン SQLI Media Library Assistant 2.90未満
プラグイン XSS Secure File Manager 2.5以下
プラグイン AUTHBYPASS WooCommerce Anti-Fraud 3.2以下
プラグイン SQLI Anti-Spam by CleanTalk 5.149未満
プラグイン CSV INJECTION Weforms 1.4.7以下
プラグイン CSV INJECTION Easy Registration Forms 2.0.6以下
プラグイン CSV INJECTION Import and export users and customers 1.16.3.6未満
プラグイン CSRF Contextual Related Posts 2.9.4未満
プラグイン XSS Fancy Product Designer 4.5.1未満
プラグイン UPLOAD AIT CSV Import / Export 3.0.3以下
プラグイン XSS BA Book Everything 1.3.25未満
プラグイン SQLI Good LMS 2.1.5未満
プラグイン OBJECT INJECTION Ultimate Reviews 2.1.33未満
プラグイン PRIVESC Ultimate Member- Unauthenticated Privilege Escalation via User Meta 2.1.12未満
プラグイン PRIVESC Ultimate Member- Authenticated Privilege Escalation via Profile Update 2.1.12未満
プラグイン PRIVESC Ultimate Member- Unauthenticated Privilege Escalation via User Roles 2.1.12未満
プラグイン SQLI Abandoned Cart Lite for WooCommerce 5.8.3未満
プラグイン ACCESS CONTROLS WooCommerce Blocks 3.7.1未満
プラグイン ACCESS CONTROLS WooCommerce 4.6.2未満
プラグイン OBJECT INJECTION Welcart e-Commerce 1.9.36未満
プラグイン UPLOAD Augmented Reality 1.2.0以下
プラグイン OBJECT INJECTION GDPR CCPA Compliance Support 2.4未満
プラグイン SQLI WP Activity Log 4.1.5未満
プラグイン SQLI AccessPress Social Icons 1.8.1未満
テーマ XSS Wibar 1.1.8以下
テーマ XSS Love Travel 2.0-3.8
テーマ XSS Love Travel 2.0未満