WordPress 2020年12月_脆弱性レポート 2021/1/25
2020年12月度のWordPressに関する脆弱性レポートをお知らせします。
12月度全体の脆弱性報告件数としては26件となっており、2020年11月度から5件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが2件、プラグインが24件でした。
本体に関しまして、今月は脆弱性が発生しておりません。
テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
最多発生はプラグインとなります。プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
テーマに関しましては、2件脆弱性が発生しております。
該当するテーマについては、「脆弱性一覧」にて後述しております。
プラグインに関しましては先月から4件減少し、24件の脆弱性が発見されました。そのうち4件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール500万以上、総ダウンロード数1億以上の人気プラグイン『Contact Form 7』にUPLOADの脆弱性が発生しております。
このプラグインは、複数のコンタクトフォームを管理でき、その上フォームとメールの内容を簡単なマークアップで柔軟にカスタマイズできるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン5.3.2以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール100万以上、総ダウンロード数1千万以上の人気プラグイン『LiteSpeed Cache』にXSSの脆弱性が発生しております。
このプラグインは、LiteSpeed Webサーバーで利用できるキャッシュ機能プラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.6.1以上への更新によって塞ぐことができます。
三つ目に、アクティブインストール100万以上、総ダウンロード数1千万以上の人気プラグイン『Redux Framework』にCSRFの脆弱性が発生しております。
このプラグインは、WordPressのための拡張可能な、完全レスポンシブのオプションフレームワークプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン4.1.24以上への更新によって塞ぐことができます。
四つ目に、アクティブインストール100万以上、総ダウンロード数1千万以上の人気プラグイン『Limit Login Attempts Reloaded』にXSSおよびBYPASSの脆弱性が発生しております。
このプラグインは、ログイン回数に制限を付けて一定の回数に失敗するとログイン手続きをさせない機能のあるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン2.17.4以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- Easy WP SMTPにてSENSITIVE DATA DISCLOSURE
- PagelayerにてXSS
- Envira Gallery LiteにてXSS
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで11件、2位がCSRFとACCESS CONTROLSで4件、3位がSQLiで2件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2020年12月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2020年12月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | CSRF | Site Offline | 1.4.4未満 |
| プラグイン | OBJECT INJECTION | Newsletter Manager | 1.5.1以下 |
| プラグイン | XSS | LiteSpeed Cache | 3.6.1未満 |
| プラグイン | XSS | WP Postratings | 1.86.1未満 |
| プラグイン | XSS | Envira Gallery Lite | 1.8.3.3未満 |
| プラグイン | XSS | Simple Social Buttons | 3.2.1未満 |
| プラグイン | XSS | Simple Social Buttons | 3.2.0未満 |
| プラグイン | UPLOAD | Contact Form 7 | 5.3.2未満 |
| プラグイン | CSRF | Redux Framework | 4.1.22 – 4.1.23 |
| プラグイン | CSRF | Redux Framework | 4.1.21未満 |
| プラグイン | XSS | Limit Login Attempts Reloaded | 2.16.0未満 |
| プラグイン | BYPASS | Limit Login Attempts Reloaded | 2.17.4未満 |
| プラグイン | ACCESS CONTROLS | Total Upkeep by BoldGrid | 1.14.10未満 |
| プラグイン | ACCESS CONTROLS | Total Upkeep by BoldGrid | 1.14.10未満 |
| プラグイン | XSS | Directories Pro | 1.3.46未満 |
| プラグイン | XSS | Directories Pro | 1.3.46未満 |
| プラグイン | CSRF | Ultimate Category Excluder | 1.2未満 |
| プラグイン | XSS | Pagelayer | 1.3.5未満 |
| プラグイン | SQLI | DiveBook | 1.1.4以下 |
| プラグイン | XSS | DiveBook | 1.1.4以下 |
| プラグイン | ACCESS CONTROLS | DiveBook | 1.1.4以下 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Easy WP SMTP | 1.4.3以下 |
| プラグイン | XSS | Themify Portfolio Post | 1.1.6以下 |
| プラグイン | SQLI | Profile Builder & Profile Builder Pro | 3.3.3未満 |
| テーマ | SENSITIVE DATA DISCLOSURE | ListingPro | 2.6.1以下 |
| テーマ | ACCESS CONTROLS | ListingPro | 2.6.1以下 |