Pocket

WordPress 2021年4月_脆弱性レポート  2021/5/31

2021年4月度のWordPressに関する脆弱性レポートをお知らせします。

4月度全体の脆弱性報告件数としては85件となっており、2021年3月度から10件増加しております。

個所別レポート

個所別の発生件数は、それぞれ本体が2件、プラグインが81件、テーマが2件でした。

本体に関しまして、今月も脆弱性が発生しております。

プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。

プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

トピックス

プラグインに関しましては先月から9件増加し、81件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。

以下、有名プラグインについて詳述します。

一つ目に、アクティブインストール500万以上、総ダウンロード数1億以上の人気プラグイン『Woocommerce』にXSSの脆弱性が発生しております。

このプラグインは、WordPressでECサイトを構築できるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン5.3.0以上への更新によって塞ぐことができます。

二つ目に、アクティブインストール100万以上、総ダウンロード数2千万以上の人気プラグイン『WP Fastest Cache』にTRAVERSALの脆弱性が発生しております。

このプラグインはWordPressのキャッシュを管理して、サイトのパフォーマンスを向上させるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン0.9.1.8以上への更新によって塞ぐことができます。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

  • Essential Addons for ElementorにてXSS
  • Photo GalleryにてXSS
  • BuddyPressにてACCESS CONTROLS
  • Premium Addons for ElementorにてXSS
  • Elementor – Header, Footer & Blocks TemplateにてXSS
  • WordPress Download ManagerにてACCESS CONTROLS
  • All 404 Redirect to HomepageにてXSS

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで43件、2位がCSRFとACCESS CONTROLSで11件でした。

トピックス

XSSの発生件数が一番多く、例月通りの傾向です。

脆弱性一覧

2021年4月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2021年4月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
本体 XXE WordPress 4.7-5.7
本体 SENSITIVE DATA DISCLOSURE WordPress 4.7-5.7
プラグイン UPLOAD Download Manager 3.1.19未満
プラグイン CSRF Download Manager 3.1.22未満
プラグイン ACCESS CONTROLS Download Manager 3.1.23未満
プラグイン XSS Give WP 2.10.4未満
プラグイン REDIRECT AcyMailing 7.5.0未満
プラグイン DOS WPGraphQL 1.3.6未満
プラグイン TRAVERSAL WP Fastest Cache 0.9.1.7未満
プラグイン XSS Happy Addons for Elementor Free 2.24.0未満
プラグイン PRIVESC Store Locator Plus 5.5.14以下
プラグイン XSS Store Locator Plus 5.5.15以下
プラグイン SQLI Car Seller – Auto Classifieds Script 2.1.0以下
プラグイン CSRF Software License Manager 4.4.6未満
プラグイン XSS Select All Categories and Taxonomies 1.3.2未満
プラグイン XSS Redirect 404 to Parent 1.3.1未満
プラグイン ACCESS CONTROLS Multiple WP-Buy Plugins
プラグイン CSRF Multiple WP-Buy Plugins
プラグイン XSS Woocommerce 5.2.0 未満
プラグイン BYPASS iThemes Security Free & Pro 7.9.1未満
プラグイン XSS RSS for Yandex Turbo 1.30未満
プラグイン XSS Accordion 2.2.30未満
プラグイン UPLOAD Kaswara Modern VC Addons (0-day)
プラグイン ACCESS CONTROLS Redirection for Contact Form 7 2.3.4未満
プラグイン ACCESS CONTROLS Redirection for Contact Form 7 2.3.4未満
プラグイン OBJECT INJECTION Redirection for Contact Form 7 2.3.4未満
プラグイン ACCESS CONTROLS Redirection for Contact Form 7 2.3.4未満
プラグイン ACCESS CONTROLS Redirection for Contact Form 7 2.3.4未満
プラグイン XSS Photo Gallery 1.5.69未満
プラグイン XSS Contact Form by Supsystic 1.7.15未満
プラグイン XSS Popup by Supsystic 1.10.5未満
プラグイン XSS Ultimate Maps by Supsystic 1.2.5未満
プラグイン ACCESS CONTROLS WordPress Download Manager 3.1.18未満
プラグイン CSRF 404 SEO Redirection 1.3以下
プラグイン XSS 404 SEO Redirection 1.3以下
プラグイン XSS All 404 Redirect to Homepage 1.21未満
プラグイン XSS SEO Redirection 6.4未満
プラグイン CSRF Edwiser Bridge 2.0.7未満
プラグイン XSS Outdated php-mod/curl Library
プラグイン CSRF Easy Digital Downloads 2.10.3未満
プラグイン XSS Clever Addons for Elementor 2.1.0未満
プラグイン ACCESS CONTROLS User Rights Access Manager 1.0.4未満
プラグイン CSRF Fitness Calculators 1.9.6未満
プラグイン ACCESS CONTROLS BuddyPress 7.3.0未満
プラグイン XSS Ultimate Addons for Elementor 1.30.0未満
プラグイン XSS DethemeKit For Elementor 1.5.5.5未満
プラグイン XSS Sina Extension for Elementor 3.3.12未満
プラグイン XSS JetWidgets For Elementor 1.0.9未満
プラグイン XSS All-in-One Addons for Elementor 2.3.10未満
プラグイン XSS The Plus Addons for Elementor Page Builder Lite 2.0.6未満
プラグイン XSS Rife Elementor Extensions & Templates 1.1.6未満
プラグイン XSS Image Hover Effects 1.3.4未満
プラグイン XSS PowerPack Addons for Elementor 2.3.2未満
プラグイン XSS WooLentor 1.8.6未満
プラグイン XSS HT Mega 1.5.7未満
プラグイン XSS Livemesh Addons for Elementor 6.8未満
プラグイン XSS Elementor Addon Elements 1.11.2未満
プラグイン XSS ElementsKit and ElementsKit Pro 2.2.0未満
プラグイン XSS Premium Addons for Elementor 4.2.8未満
プラグイン XSS Elementor – Header, Footer & Blocks Template 1.5.8未満
プラグイン XSS Essential Addons for Elementor 4.5.4未満
プラグイン CSRF Business Directory Plugin 5.11.2未満
プラグイン CSRF Business Directory Plugin 5.11.2未満
プラグイン XSS Business Directory Plugin 5.11.2未満
プラグイン UPLOAD College Publisher Import 0.1以下
プラグイン UPLOAD Business Directory Plugin 5.11.1未満
プラグイン CSRF Business Directory Plugin 5.11.1未満
プラグイン CSRF Business Directory Plugin 5.11未満
プラグイン UPLOAD Classyfrieds 3.8以下
プラグイン UPLOAD Event Banner 1.3以下
プラグイン ACCESS CONTROLS Contact Form Check Tester 1.0.2以下
プラグイン XSS Larsens Calender 1.2以下
プラグイン XSS WorkScout Core 1.3.4未満
プラグイン UPLOAD Imagements 1.2.5以下
プラグイン XSS Stop Spammers 2021.9未満
プラグイン XSS OpenID Connect Generic Client 3.8.0-3.8.1
プラグイン ACCESS CONTROLS WPBakery Page Builder Clipboard 4.5.8未満
プラグイン SQLI Simple Membership 4.0.4未満
プラグイン LFI Tutor LMS 1.8.8未満
プラグイン XSS WPBakery Page Builder Clipboard 4.5.6未満
プラグイン XSS Pie Register 3.7.0.1未満
プラグイン UPLOAD Business Hours Pro 5.5.0以下
プラグイン XSS Erident Custom Login and Dashboard 3.5.9未満
テーマ SQLI Goto 2.1未満
テーマ XSS WorkScout Core 1.3.4未満