WordPress 2021年5月_脆弱性レポート 2021/6/29
2021年5月度のWordPressに関する脆弱性レポートをお知らせします。
5月度全体の脆弱性報告件数としては68件となっており、2021年4月度から17件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が1件、プラグインが58件、テーマが9件でした。
本体に関しまして、今月も脆弱性が発生しております。
プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
プラグインに関しましては先月から23件減少し、58件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール200万以上、総ダウンロード数7939万以上の人気プラグイン『All in One SEO Pack』にRCEの脆弱性が発生しております。
このプラグインは、基礎的なSEO対策が一括して管理できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン4.1.1.1以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール200万以上、総ダウンロード数3669万以上の人気プラグイン『WP Super Cache』にRCEの脆弱性が発生しております。
このプラグインは、Webサイトのパフォーマンスを向上させるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン1.7.3以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- AutoptimizeにてXSS
- Photo GalleryにてXSS
- WP StatisticsにてSQLI
- The Plus Addons for ElementorにてXSS
- Spam protection, AntiSpam, FireWall by CleanTalkにてSQLI
- Ultimate MemberにてXSS
- Database Backup for WordPressにてXSS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで35件、2位がACCESS CONTROLSで11件、3位がSQLiで9件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2021年5月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2021年5月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | OBJECT INJECTION | WordPress | 3.7-5.7.1 |
| プラグイン | XSS | FooGallery | 2.0.35未満 |
| プラグイン | SQLI | Yes/No Chart | 1.0.12未満 |
| プラグイン | REDIRECT | The Plus Addons for Elementor Page Builder | 2.0.8 |
| プラグイン | ACCESS CONTROLS | The Plus Addons for Elementor Page Builder | 4.1.11未満 |
| プラグイン | XSS | The Plus Addons for Elementor | 4.1.12未満 |
| プラグイン | OBJECT INJECTION | NinjaFirewall | 4.3.4未満 |
| プラグイン | SQLI | Xllentech English Islamic Calendar | 2.6.8未満 |
| プラグイン | SQLI | Side Menu | 3.1.5未満 |
| プラグイン | XSS | Stock in & out | 1.0.4以下 |
| プラグイン | SQLI | Sendit WP Newsletter | 2.5.1以下 |
| プラグイン | XSS | Visitors | 0.3以下 |
| プラグイン | ACCESS CONTROLS | Simple 301 Redirects by BetterLinks | 2.0.0 – 2.0.3 |
| プラグイン | ACCESS CONTROLS | Simple 301 Redirects by BetterLinks | 2.0.0 – 2.0.3 |
| プラグイン | ACCESS CONTROLS | Simple 301 Redirects by BetterLinks | 2.0.0 – 2.0.3 |
| プラグイン | ACCESS CONTROLS | Simple 301 Redirects by BetterLinks | 2.0.0 – 2.0.3 |
| プラグイン | ACCESS CONTROLS | Simple 301 Redirects by BetterLinks | 2.0.0 – 2.0.3 |
| プラグイン | XSS | Gallery From Files | 1.6.0以下 |
| プラグイン | XSS | Gallery From Files | 1.6.0以下 |
| プラグイン | ACCESS CONTROLS | Multivendor Marketplace Solution for WooCommerce | 3.7.4未満 |
| プラグイン | XSS | Cookie Law Bar | 1.2.1以下 |
| プラグイン | RCE | SP Project & Document Manager | 4.22以下 |
| プラグイン | XSS | Easy Preloader | 1.0.0以下 |
| プラグイン | XSS | iFlyChat | 4.6.4以下 |
| プラグイン | SQLI | Video Embed | 1.0以下 |
| プラグイン | SQLI | FlightLog | 3.0.2以下 |
| プラグイン | SQLI | WP Statistics | 13.0.8未満 |
| プラグイン | XSS | WP Prayer | 1.6.2未満 |
| プラグイン | OBJECT INJECTION | CM Registration Pro | 3.2.1未満 |
| プラグイン | XSS | Instant Images WordPress Plugin | 4.4.0.1未満 |
| プラグイン | XSS | Smooth Scroll Page Up/Down Buttons | 1.4未満 |
| プラグイン | XSS | Funnel Builder by CartFlows | 1.6.13未満 |
| プラグイン | XSS | Database Backup for WordPress | 2.4未満 |
| プラグイン | RCE | WP Super Cache | 1.7.3未満 |
| プラグイン | UPLOAD | External Media | 1.0.34未満 |
| プラグイン | XSS | Weekly Schedule | 3.4.3未満 |
| プラグイン | XSS | Photo Gallery | 1.5.67未満 |
| プラグイン | XSS | LifterLMS | 4.21.1未満 |
| プラグイン | XSS | LifterLMS | 4.21.1未満 |
| プラグイン | RCE | All in One SEO Pack | 4.1.0.2未満 |
| プラグイン | XSS | ReDi Restaurant Reservations | 21.0426未満 |
| プラグイン | XSS | Simple Giveaways | 2.36.2未満 |
| プラグイン | ACCESS CONTROLS | ThemeHigh WooCommerce Wishlist and Comparison | 1.0.5未満 |
| プラグイン | CSRF | Zlick Paywall | 2.2.2未満 |
| プラグイン | XSS | Autoptimize | 2.8.4未満 |
| プラグイン | XSS | Ultimate Member | 2.1.20未満 |
| プラグイン | OBJECT INJECTION | UltimateWoo | 0.1.10以下 |
| プラグイン | XSS | DSGVO All in one for WP | 4.0未満 |
| プラグイン | ACCESS CONTROLS | Leads-5050 Visitor Insights | 1.0.4未満 |
| プラグイン | ACCESS CONTROLS | Leads-5050 Visitor Insights | 1.1.0未満 |
| プラグイン | XSS | PickPlugins Product Slider for WooCommerce | 1.13.22未満 |
| プラグイン | XSS | Target First Plugin 2.0 | |
| プラグイン | XSS | Hana Flv Player | 3.1.3以下 |
| プラグイン | CSRF | Parcel Tracker eCourier | 1.0.2未満 |
| プラグイン | CSRF | Ship To Ecourier | 1.0.2未満 |
| プラグイン | ACCESS CONTROLS | Simple Admin Language Change | 2.0.2未満 |
| プラグイン | XSS | Hotjar Connecticator | 1.1.1以下 |
| プラグイン | XSS | WP Customer Reviews | 3.5.6未満 |
| プラグイン | SQLI | Spam protection, AntiSpam, FireWall by CleanTalk | 5.153.4未満 |
| テーマ | XSS | JNews | 8.0.6未満 |
| テーマ | XSS | Car Repair Services | 4.0未満 |
| テーマ | XSS | Mediumish | 1.0.47以下 |
| テーマ | XSS | Listeo | 1.6.11未満 |
| テーマ | IDOR | Listeo | 1.6.11未満 |
| テーマ | XSS | Bello | 1.6.0未満 |
| テーマ | XSS | Bello | 1.6.0未満 |
| テーマ | SQLI | Bello | 1.6.0未満 |
| テーマ | XSS | Goto | 2.1未満 |