WordPress 2021年4月_脆弱性レポート 2021/5/31
2021年4月度のWordPressに関する脆弱性レポートをお知らせします。
4月度全体の脆弱性報告件数としては85件となっており、2021年3月度から10件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が2件、プラグインが81件、テーマが2件でした。
本体に関しまして、今月も脆弱性が発生しております。
プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
プラグインに関しましては先月から9件増加し、81件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール500万以上、総ダウンロード数1億以上の人気プラグイン『Woocommerce』にXSSの脆弱性が発生しております。
このプラグインは、WordPressでECサイトを構築できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン5.3.0以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール100万以上、総ダウンロード数2千万以上の人気プラグイン『WP Fastest Cache』にTRAVERSALの脆弱性が発生しております。
このプラグインはWordPressのキャッシュを管理して、サイトのパフォーマンスを向上させるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン0.9.1.8以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- Essential Addons for ElementorにてXSS
- Photo GalleryにてXSS
- BuddyPressにてACCESS CONTROLS
- Premium Addons for ElementorにてXSS
- Elementor – Header, Footer & Blocks TemplateにてXSS
- WordPress Download ManagerにてACCESS CONTROLS
- All 404 Redirect to HomepageにてXSS
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで43件、2位がCSRFとACCESS CONTROLSで11件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2021年4月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2021年4月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | XXE | WordPress | 4.7-5.7 |
| 本体 | SENSITIVE DATA DISCLOSURE | WordPress | 4.7-5.7 |
| プラグイン | UPLOAD | Download Manager | 3.1.19未満 |
| プラグイン | CSRF | Download Manager | 3.1.22未満 |
| プラグイン | ACCESS CONTROLS | Download Manager | 3.1.23未満 |
| プラグイン | XSS | Give WP | 2.10.4未満 |
| プラグイン | REDIRECT | AcyMailing | 7.5.0未満 |
| プラグイン | DOS | WPGraphQL | 1.3.6未満 |
| プラグイン | TRAVERSAL | WP Fastest Cache | 0.9.1.7未満 |
| プラグイン | XSS | Happy Addons for Elementor Free | 2.24.0未満 |
| プラグイン | PRIVESC | Store Locator Plus | 5.5.14以下 |
| プラグイン | XSS | Store Locator Plus | 5.5.15以下 |
| プラグイン | SQLI | Car Seller – Auto Classifieds Script | 2.1.0以下 |
| プラグイン | CSRF | Software License Manager | 4.4.6未満 |
| プラグイン | XSS | Select All Categories and Taxonomies | 1.3.2未満 |
| プラグイン | XSS | Redirect 404 to Parent | 1.3.1未満 |
| プラグイン | ACCESS CONTROLS | Multiple WP-Buy Plugins | – |
| プラグイン | CSRF | Multiple WP-Buy Plugins | – |
| プラグイン | XSS | Woocommerce | 5.2.0 未満 |
| プラグイン | BYPASS | iThemes Security Free & Pro | 7.9.1未満 |
| プラグイン | XSS | RSS for Yandex Turbo | 1.30未満 |
| プラグイン | XSS | Accordion | 2.2.30未満 |
| プラグイン | UPLOAD | Kaswara Modern VC Addons (0-day) | – |
| プラグイン | ACCESS CONTROLS | Redirection for Contact Form 7 | 2.3.4未満 |
| プラグイン | ACCESS CONTROLS | Redirection for Contact Form 7 | 2.3.4未満 |
| プラグイン | OBJECT INJECTION | Redirection for Contact Form 7 | 2.3.4未満 |
| プラグイン | ACCESS CONTROLS | Redirection for Contact Form 7 | 2.3.4未満 |
| プラグイン | ACCESS CONTROLS | Redirection for Contact Form 7 | 2.3.4未満 |
| プラグイン | XSS | Photo Gallery | 1.5.69未満 |
| プラグイン | XSS | Contact Form by Supsystic | 1.7.15未満 |
| プラグイン | XSS | Popup by Supsystic | 1.10.5未満 |
| プラグイン | XSS | Ultimate Maps by Supsystic | 1.2.5未満 |
| プラグイン | ACCESS CONTROLS | WordPress Download Manager | 3.1.18未満 |
| プラグイン | CSRF | 404 SEO Redirection | 1.3以下 |
| プラグイン | XSS | 404 SEO Redirection | 1.3以下 |
| プラグイン | XSS | All 404 Redirect to Homepage | 1.21未満 |
| プラグイン | XSS | SEO Redirection | 6.4未満 |
| プラグイン | CSRF | Edwiser Bridge | 2.0.7未満 |
| プラグイン | XSS | Outdated php-mod/curl Library | – |
| プラグイン | CSRF | Easy Digital Downloads | 2.10.3未満 |
| プラグイン | XSS | Clever Addons for Elementor | 2.1.0未満 |
| プラグイン | ACCESS CONTROLS | User Rights Access Manager | 1.0.4未満 |
| プラグイン | CSRF | Fitness Calculators | 1.9.6未満 |
| プラグイン | ACCESS CONTROLS | BuddyPress | 7.3.0未満 |
| プラグイン | XSS | Ultimate Addons for Elementor | 1.30.0未満 |
| プラグイン | XSS | DethemeKit For Elementor | 1.5.5.5未満 |
| プラグイン | XSS | Sina Extension for Elementor | 3.3.12未満 |
| プラグイン | XSS | JetWidgets For Elementor | 1.0.9未満 |
| プラグイン | XSS | All-in-One Addons for Elementor | 2.3.10未満 |
| プラグイン | XSS | The Plus Addons for Elementor Page Builder Lite | 2.0.6未満 |
| プラグイン | XSS | Rife Elementor Extensions & Templates | 1.1.6未満 |
| プラグイン | XSS | Image Hover Effects | 1.3.4未満 |
| プラグイン | XSS | PowerPack Addons for Elementor | 2.3.2未満 |
| プラグイン | XSS | WooLentor | 1.8.6未満 |
| プラグイン | XSS | HT Mega | 1.5.7未満 |
| プラグイン | XSS | Livemesh Addons for Elementor | 6.8未満 |
| プラグイン | XSS | Elementor Addon Elements | 1.11.2未満 |
| プラグイン | XSS | ElementsKit and ElementsKit Pro | 2.2.0未満 |
| プラグイン | XSS | Premium Addons for Elementor | 4.2.8未満 |
| プラグイン | XSS | Elementor – Header, Footer & Blocks Template | 1.5.8未満 |
| プラグイン | XSS | Essential Addons for Elementor | 4.5.4未満 |
| プラグイン | CSRF | Business Directory Plugin | 5.11.2未満 |
| プラグイン | CSRF | Business Directory Plugin | 5.11.2未満 |
| プラグイン | XSS | Business Directory Plugin | 5.11.2未満 |
| プラグイン | UPLOAD | College Publisher Import | 0.1以下 |
| プラグイン | UPLOAD | Business Directory Plugin | 5.11.1未満 |
| プラグイン | CSRF | Business Directory Plugin | 5.11.1未満 |
| プラグイン | CSRF | Business Directory Plugin | 5.11未満 |
| プラグイン | UPLOAD | Classyfrieds | 3.8以下 |
| プラグイン | UPLOAD | Event Banner | 1.3以下 |
| プラグイン | ACCESS CONTROLS | Contact Form Check Tester | 1.0.2以下 |
| プラグイン | XSS | Larsens Calender | 1.2以下 |
| プラグイン | XSS | WorkScout Core | 1.3.4未満 |
| プラグイン | UPLOAD | Imagements | 1.2.5以下 |
| プラグイン | XSS | Stop Spammers | 2021.9未満 |
| プラグイン | XSS | OpenID Connect Generic Client | 3.8.0-3.8.1 |
| プラグイン | ACCESS CONTROLS | WPBakery Page Builder Clipboard | 4.5.8未満 |
| プラグイン | SQLI | Simple Membership | 4.0.4未満 |
| プラグイン | LFI | Tutor LMS | 1.8.8未満 |
| プラグイン | XSS | WPBakery Page Builder Clipboard | 4.5.6未満 |
| プラグイン | XSS | Pie Register | 3.7.0.1未満 |
| プラグイン | UPLOAD | Business Hours Pro | 5.5.0以下 |
| プラグイン | XSS | Erident Custom Login and Dashboard | 3.5.9未満 |
| テーマ | SQLI | Goto | 2.1未満 |
| テーマ | XSS | WorkScout Core | 1.3.4未満 |