WordPress 2021年6月_脆弱性レポート 2021/7/29
2021年6月度のWordPressに関する脆弱性レポートをお知らせします。
6月度全体の脆弱性報告件数としては91件となっており、2021年5月度から23件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、プラグインが85件、テーマが6件でした。
本体に関しまして、今月は脆弱性が発生しておりません。
プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
プラグインに関しましては先月から27件増加し、85件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール500万以上、総ダウンロード数2億以上の人気プラグイン『Jetpack』にIDORの脆弱性が発生しております。
このプラグインは、WordPressを利用する上で便利な機能がひとまとめにされているプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン9.9以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール100万以上、総ダウンロード数3047万以上の人気プラグイン『W3 Total Cache』にXSSの脆弱性が発生しております。
このプラグインは、キャッシュによりWebサイトの表示速度を高速化できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン2.1.5以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- WP Google MapsにてXSS
- Smart Slider 3にてXSS
- ProfilePressにてXSS,PRIVESC,UPLOAD
- WordPress Popular PostsにてXSS
- WP ResetにてXSS
- TaxoPressにてXSS
- Profile BuilderにてXSS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにて、ご利用のプラグインが提供元によって継続的に管理されていて最新版かどうか、脆弱性に対して対策が施されているかどうか、いま一度ご確認いただくことを推奨いたします。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで54件、2位がSQLiで16件、3位がCSRFで6件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2021年6月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2021年6月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | UPLOAD | Fancy Product Designer | 4.6.9未満 |
| プラグイン | XSS | GetPaid | 2.3.4未満 |
| プラグイン | SQLI | Stock in & out | 1.0.4以下 |
| プラグイン | XSS | Quiz And Survey Master | 7.1.18未満 |
| プラグイン | IDOR | Jetpack | 9.8未満 |
| プラグイン | SQLI | GeoDirectory Location Manager | 2.1.0.10未満 |
| プラグイン | XSS | WordPress Popular Posts | 5.3.3未満 |
| プラグイン | XSS | WP Hardening | 1.2.2未満 |
| プラグイン | XSS | WP Hardening | 1.2.2未満 |
| プラグイン | BYPASS | Comments Like Dislike | 1.1.4未満 |
| プラグイン | XSS | WP Google Maps | 8.1.12未満 |
| プラグイン | XSS | Smart Slider 3 | 3.5.0.9未満 |
| プラグイン | OBJECT INJECTION | JoomSport | 5.1.8未満 |
| プラグイン | XSS | Advanced AJAX Product Filters | 1.5.4.7未満 |
| プラグイン | ACCESS CONTROLS | Easy Cookie Policy | 1.6.2以下 |
| プラグイン | XSS | Welcart e-Commerce | 2.2.4未満 |
| プラグイン | XSS | Async JavaScript | 2.21.06.29未満 |
| プラグイン | XSS | WP DoNotTrack | 0.8.8以下 |
| プラグイン | XSS | WP SVG Images | 3.4未満 |
| プラグイン | CSRF | Vik Rent Car | 1.1.7未満 |
| プラグイン | XSS | FoodBakery | 2.2未満 |
| プラグイン | REDIRECT | wpForo Forum | 1.9.7未満 |
| プラグイン | CSRF | Woocommerce Stock Manager | 2.6.0未満 |
| プラグイン | XSS | 10Web Map Builder for Google Maps | 1.0.70未満 |
| プラグイン | XSS | Smooth Scroll Page Up/Down Buttons | 1.4以下 |
| プラグイン | XSS | RSS for Yandex Turbo | 1.3以下 |
| プラグイン | XSS | Request a Quote | 2.3.4未満 |
| プラグイン | XSS | WP YouTube Lyte | 1.7.16未満 |
| プラグイン | XSS | WP JobSearch | 1.7.4未満 |
| プラグイン | XSS | WP Reset | 1.90未満 |
| プラグイン | XSS | Backup by 10Web | 1.0.20未満 |
| プラグイン | XSS | W3 Total Cache | 2.1.3未満 |
| プラグイン | SQLI | Filebird | 4.7.3 |
| プラグイン | CSRF | WP Fluent Forms | 3.6.67未満 |
| プラグイン | XSS | YOP Poll | 6.2.8未満 |
| プラグイン | XSS | Browser Screenshots | 1.7.6未満 |
| プラグイン | XSS | Sign-up Sheets | 1.0.14未満 |
| プラグイン | CSV INJECTION | Sign-up Sheets | 1.0.14未満 |
| プラグイン | XSS | Prismatic | 2.8未満 |
| プラグイン | XSS | Prismatic | 2.8未満 |
| プラグイン | XSS | Glass | 1.3.2以下 |
| プラグイン | XSS | Simple Sort&Search | 0.0.3以下 |
| プラグイン | XSS | Salon Booking System | 6.3.1未満 |
| プラグイン | SQLI | Export Users With Meta | 0.6.5未満 |
| プラグイン | RCE | Include Me | 1.2.1以下 |
| プラグイン | XSS | myStickymenu | 2.5.2未満 |
| プラグイン | XSS | Fudousan | 5.7.2未満 |
| プラグイン | SQLI | Poll, Survey, Questionnaire and Voting system | 1.5.3未満 |
| プラグイン | LFI | WP Image Zoom | 1.47未満 |
| プラグイン | XSS | Yada Wiki | 3.4.1未満 |
| プラグイン | IDOR | User Profile Picture | 2.6.0未満 |
| プラグイン | XSS | YouTube Embed, Playlist and Popup | 2.3.9未満 |
| プラグイン | XSS | W3 Total Cache | 2.1.5未満 |
| プラグイン | XSS | W3 Total Cache | 2.1.4未満 |
| プラグイン | XSS | ProfilePress | 3.1.8未満 |
| プラグイン | XSS | Tutor LMS | 1.9.2未満 |
| プラグイン | XSS | Youzify | 1.0.7未満 |
| プラグイン | XSS | Any Hostname | 1.0.6以下 |
| プラグイン | XSS | Event Geek | 2.5.2以下 |
| プラグイン | XSS | DrawBlog | 0.90以下 |
| プラグイン | XSS | Bookshelf | 2.0.4以下 |
| プラグイン | XSS | Migrate Users | 1.0.1以下 |
| プラグイン | XSS | Steam Group Viewer | 2.1以下 |
| プラグイン | XSS | Awesome Weather Widget | 3.0.2以下 |
| プラグイン | XSS | Post Grid | 2.1.8未満 |
| プラグイン | PRIVESC | ProfilePress | 3.0 – 3.1.3 |
| プラグイン | PRIVESC | ProfilePress | 3.0 – 3.1.3 |
| プラグイン | UPLOAD | ProfilePress | 3.0 – 3.1.3 |
| プラグイン | UPLOAD | ProfilePress | 3.0 – 3.1.3 |
| プラグイン | SQLI | Side Menu Lite | 2.2.1未満 |
| プラグイン | SQLI | Quiz Maker | 6.2.0.9未満 |
| プラグイン | SQLI | Portfolio Responsive Gallery | 1.1.8未満 |
| プラグイン | SQLI | Popup box | 2.3.4未満 |
| プラグイン | SQLI | Survey Maker | 1.5.6未満 |
| プラグイン | SQLI | Popup Like box – Page Plugin | 3.5.3未満 |
| プラグイン | SQLI | FAQ Builder | 1.3.6未満 |
| プラグイン | SQLI | Photo Gallery by Ays – Responsive Image Gallery | 4.4.4未満 |
| プラグイン | SQLI | Image Slider by Ays – Responsive Slider and Carousel | 2.5.0未満 |
| プラグイン | SQLI | Poll Maker | 3.2.1未満 |
| プラグイン | SQLI | Secure Copy Content Protection and Content Locking | 2.6.7未満 |
| プラグイン | SSRF | RSVPMaker | 8.7.3未満 |
| プラグイン | SQLI | Handsome Testimonials & Reviews | 2.1.1未満 |
| プラグイン | XSS | WP Offload SES Lite | 1.4.5未満 |
| プラグイン | XSS | Profile Builder | 3.4.8未満 |
| プラグイン | XSS | TaxoPress | 3.0.7.2未満 |
| テーマ | XSS | Jannah | 5.4.4未満 |
| テーマ | LFI | Motor theme | 3.1.0未満 |
| テーマ | XSS | Real Estate 7 | 3.1.1未満 |
| テーマ | XSS | Jannah | 5.4.5未満 |
| テーマ | RFI | Onair2 | 3.9.9.2未満 |
| テーマ | XSS | Newspaper | 11未満 |