Pocket

WordPress 2021年5月_脆弱性レポート  2021/6/29

2021年5月度のWordPressに関する脆弱性レポートをお知らせします。

5月度全体の脆弱性報告件数としては68件となっており、2021年4月度から17件減少しております。

個所別レポート

個所別の発生件数は、それぞれ本体が1件、プラグインが58件、テーマが9件でした。

本体に関しまして、今月も脆弱性が発生しております。

プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。

プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

トピックス

プラグインに関しましては先月から23件減少し、58件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。

以下、有名プラグインについて詳述します。

一つ目に、アクティブインストール200万以上、総ダウンロード数7939万以上の人気プラグイン『All in One SEO Pack』にRCEの脆弱性が発生しております。

このプラグインは、基礎的なSEO対策が一括して管理できるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン4.1.1.1以上への更新によって塞ぐことができます。

二つ目に、アクティブインストール200万以上、総ダウンロード数3669万以上の人気プラグイン『WP Super Cache』にRCEの脆弱性が発生しております。

このプラグインは、Webサイトのパフォーマンスを向上させるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン1.7.3以上への更新によって塞ぐことができます。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

  • AutoptimizeにてXSS
  • Photo GalleryにてXSS
  • WP StatisticsにてSQLI
  • The Plus Addons for ElementorにてXSS
  • Spam protection, AntiSpam, FireWall by CleanTalkにてSQLI
  • Ultimate MemberにてXSS
  • Database Backup for WordPressにてXSS

また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで35件、2位がACCESS CONTROLSで11件、3位がSQLiで9件でした。

トピックス

XSSの発生件数が一番多く、例月通りの傾向です。

脆弱性一覧

2021年5月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2021年5月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
本体 OBJECT INJECTION WordPress 3.7-5.7.1
プラグイン XSS FooGallery 2.0.35未満
プラグイン SQLI Yes/No Chart 1.0.12未満
プラグイン REDIRECT The Plus Addons for Elementor Page Builder 2.0.8
プラグイン ACCESS CONTROLS The Plus Addons for Elementor Page Builder 4.1.11未満
プラグイン XSS The Plus Addons for Elementor 4.1.12未満
プラグイン OBJECT INJECTION NinjaFirewall 4.3.4未満
プラグイン SQLI Xllentech English Islamic Calendar 2.6.8未満
プラグイン SQLI Side Menu 3.1.5未満
プラグイン XSS Stock in & out 1.0.4以下
プラグイン SQLI Sendit WP Newsletter 2.5.1以下
プラグイン XSS Visitors 0.3以下
プラグイン ACCESS CONTROLS Simple 301 Redirects by BetterLinks 2.0.0 – 2.0.3
プラグイン ACCESS CONTROLS Simple 301 Redirects by BetterLinks 2.0.0 – 2.0.3
プラグイン ACCESS CONTROLS Simple 301 Redirects by BetterLinks 2.0.0 – 2.0.3
プラグイン ACCESS CONTROLS Simple 301 Redirects by BetterLinks 2.0.0 – 2.0.3
プラグイン ACCESS CONTROLS Simple 301 Redirects by BetterLinks 2.0.0 – 2.0.3
プラグイン XSS Gallery From Files 1.6.0以下
プラグイン XSS Gallery From Files 1.6.0以下
プラグイン ACCESS CONTROLS Multivendor Marketplace Solution for WooCommerce 3.7.4未満
プラグイン XSS Cookie Law Bar 1.2.1以下
プラグイン RCE SP Project & Document Manager 4.22以下
プラグイン XSS Easy Preloader 1.0.0以下
プラグイン XSS iFlyChat 4.6.4以下
プラグイン SQLI Video Embed 1.0以下
プラグイン SQLI FlightLog 3.0.2以下
プラグイン SQLI WP Statistics 13.0.8未満
プラグイン XSS WP Prayer 1.6.2未満
プラグイン OBJECT INJECTION CM Registration Pro 3.2.1未満
プラグイン XSS Instant Images WordPress Plugin 4.4.0.1未満
プラグイン XSS Smooth Scroll Page Up/Down Buttons 1.4未満
プラグイン XSS Funnel Builder by CartFlows 1.6.13未満
プラグイン XSS Database Backup for WordPress 2.4未満
プラグイン RCE WP Super Cache 1.7.3未満
プラグイン UPLOAD External Media 1.0.34未満
プラグイン XSS Weekly Schedule 3.4.3未満
プラグイン XSS Photo Gallery 1.5.67未満
プラグイン XSS LifterLMS 4.21.1未満
プラグイン XSS LifterLMS 4.21.1未満
プラグイン RCE All in One SEO Pack 4.1.0.2未満
プラグイン XSS ReDi Restaurant Reservations 21.0426未満
プラグイン XSS Simple Giveaways 2.36.2未満
プラグイン ACCESS CONTROLS ThemeHigh WooCommerce Wishlist and Comparison 1.0.5未満
プラグイン CSRF Zlick Paywall 2.2.2未満
プラグイン XSS Autoptimize 2.8.4未満
プラグイン XSS Ultimate Member 2.1.20未満
プラグイン OBJECT INJECTION UltimateWoo 0.1.10以下
プラグイン XSS DSGVO All in one for WP 4.0未満
プラグイン ACCESS CONTROLS Leads-5050 Visitor Insights 1.0.4未満
プラグイン ACCESS CONTROLS Leads-5050 Visitor Insights 1.1.0未満
プラグイン XSS PickPlugins Product Slider for WooCommerce 1.13.22未満
プラグイン XSS Target First Plugin 2.0
プラグイン XSS Hana Flv Player 3.1.3以下
プラグイン CSRF Parcel Tracker eCourier 1.0.2未満
プラグイン CSRF Ship To Ecourier 1.0.2未満
プラグイン ACCESS CONTROLS Simple Admin Language Change 2.0.2未満
プラグイン XSS Hotjar Connecticator 1.1.1以下
プラグイン XSS WP Customer Reviews 3.5.6未満
プラグイン SQLI Spam protection, AntiSpam, FireWall by CleanTalk 5.153.4未満
テーマ XSS JNews 8.0.6未満
テーマ XSS Car Repair Services 4.0未満
テーマ XSS Mediumish 1.0.47以下
テーマ XSS Listeo 1.6.11未満
テーマ IDOR Listeo 1.6.11未満
テーマ XSS Bello 1.6.0未満
テーマ XSS Bello 1.6.0未満
テーマ SQLI Bello 1.6.0未満
テーマ XSS Goto 2.1未満