Pocket

WordPress 2021年6月_脆弱性レポート  2021/7/29

2021年6月度のWordPressに関する脆弱性レポートをお知らせします。

6月度全体の脆弱性報告件数としては91件となっており、2021年5月度から23件増加しております。

個所別レポート

個所別の発生件数は、それぞれ本体が0件、プラグインが85件、テーマが6件でした。

本体に関しまして、今月は脆弱性が発生しておりません。

プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。

プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

トピックス

プラグインに関しましては先月から27件増加し、85件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。

以下、有名プラグインについて詳述します。

一つ目に、アクティブインストール500万以上、総ダウンロード数2億以上の人気プラグイン『Jetpack』にIDORの脆弱性が発生しております。

このプラグインは、WordPressを利用する上で便利な機能がひとまとめにされているプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン9.9以上への更新によって塞ぐことができます。

二つ目に、アクティブインストール100万以上、総ダウンロード数3047万以上の人気プラグイン『W3 Total Cache』にXSSの脆弱性が発生しております。

このプラグインは、キャッシュによりWebサイトの表示速度を高速化できるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン2.1.5以上への更新によって塞ぐことができます。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

  • WP Google MapsにてXSS
  • Smart Slider 3にてXSS
  • ProfilePressにてXSS,PRIVESC,UPLOAD
  • WordPress Popular PostsにてXSS
  • WP ResetにてXSS
  • TaxoPressにてXSS
  • Profile BuilderにてXSS

また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにて、ご利用のプラグインが提供元によって継続的に管理されていて最新版かどうか、脆弱性に対して対策が施されているかどうか、いま一度ご確認いただくことを推奨いたします。

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで54件、2位がSQLiで16件、3位がCSRFで6件でした。

トピックス

XSSの発生件数が一番多く、例月通りの傾向です。

脆弱性一覧

2021年6月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2021年6月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
プラグイン UPLOAD Fancy Product Designer 4.6.9未満
プラグイン XSS GetPaid 2.3.4未満
プラグイン SQLI Stock in & out 1.0.4以下
プラグイン XSS Quiz And Survey Master 7.1.18未満
プラグイン IDOR Jetpack 9.8未満
プラグイン SQLI GeoDirectory Location Manager 2.1.0.10未満
プラグイン XSS WordPress Popular Posts 5.3.3未満
プラグイン XSS WP Hardening 1.2.2未満
プラグイン XSS WP Hardening 1.2.2未満
プラグイン BYPASS Comments Like Dislike 1.1.4未満
プラグイン XSS WP Google Maps 8.1.12未満
プラグイン XSS Smart Slider 3 3.5.0.9未満
プラグイン OBJECT INJECTION JoomSport 5.1.8未満
プラグイン XSS Advanced AJAX Product Filters 1.5.4.7未満
プラグイン ACCESS CONTROLS Easy Cookie Policy 1.6.2以下
プラグイン XSS Welcart e-Commerce 2.2.4未満
プラグイン XSS Async JavaScript 2.21.06.29未満
プラグイン XSS WP DoNotTrack 0.8.8以下
プラグイン XSS WP SVG Images 3.4未満
プラグイン CSRF Vik Rent Car 1.1.7未満
プラグイン XSS FoodBakery 2.2未満
プラグイン REDIRECT wpForo Forum 1.9.7未満
プラグイン CSRF Woocommerce Stock Manager 2.6.0未満
プラグイン XSS 10Web Map Builder for Google Maps 1.0.70未満
プラグイン XSS Smooth Scroll Page Up/Down Buttons 1.4以下
プラグイン XSS RSS for Yandex Turbo 1.3以下
プラグイン XSS Request a Quote 2.3.4未満
プラグイン XSS WP YouTube Lyte 1.7.16未満
プラグイン XSS WP JobSearch 1.7.4未満
プラグイン XSS WP Reset 1.90未満
プラグイン XSS Backup by 10Web 1.0.20未満
プラグイン XSS W3 Total Cache 2.1.3未満
プラグイン SQLI Filebird 4.7.3
プラグイン CSRF WP Fluent Forms 3.6.67未満
プラグイン XSS YOP Poll 6.2.8未満
プラグイン XSS Browser Screenshots 1.7.6未満
プラグイン XSS Sign-up Sheets 1.0.14未満
プラグイン CSV INJECTION Sign-up Sheets 1.0.14未満
プラグイン XSS Prismatic 2.8未満
プラグイン XSS Prismatic 2.8未満
プラグイン XSS Glass 1.3.2以下
プラグイン XSS Simple Sort&Search 0.0.3以下
プラグイン XSS Salon Booking System 6.3.1未満
プラグイン SQLI Export Users With Meta 0.6.5未満
プラグイン RCE Include Me 1.2.1以下
プラグイン XSS myStickymenu 2.5.2未満
プラグイン XSS Fudousan 5.7.2未満
プラグイン SQLI Poll, Survey, Questionnaire and Voting system 1.5.3未満
プラグイン LFI WP Image Zoom 1.47未満
プラグイン XSS Yada Wiki 3.4.1未満
プラグイン IDOR User Profile Picture 2.6.0未満
プラグイン XSS YouTube Embed, Playlist and Popup 2.3.9未満
プラグイン XSS W3 Total Cache 2.1.5未満
プラグイン XSS W3 Total Cache 2.1.4未満
プラグイン XSS ProfilePress 3.1.8未満
プラグイン XSS Tutor LMS 1.9.2未満
プラグイン XSS Youzify 1.0.7未満
プラグイン XSS Any Hostname 1.0.6以下
プラグイン XSS Event Geek 2.5.2以下
プラグイン XSS DrawBlog 0.90以下
プラグイン XSS Bookshelf 2.0.4以下
プラグイン XSS Migrate Users 1.0.1以下
プラグイン XSS Steam Group Viewer 2.1以下
プラグイン XSS Awesome Weather Widget 3.0.2以下
プラグイン XSS Post Grid 2.1.8未満
プラグイン PRIVESC ProfilePress 3.0 – 3.1.3
プラグイン PRIVESC ProfilePress 3.0 – 3.1.3
プラグイン UPLOAD ProfilePress 3.0 – 3.1.3
プラグイン UPLOAD ProfilePress 3.0 – 3.1.3
プラグイン SQLI Side Menu Lite 2.2.1未満
プラグイン SQLI Quiz Maker 6.2.0.9未満
プラグイン SQLI Portfolio Responsive Gallery 1.1.8未満
プラグイン SQLI Popup box 2.3.4未満
プラグイン SQLI Survey Maker 1.5.6未満
プラグイン SQLI Popup Like box – Page Plugin 3.5.3未満
プラグイン SQLI FAQ Builder 1.3.6未満
プラグイン SQLI Photo Gallery by Ays – Responsive Image Gallery 4.4.4未満
プラグイン SQLI Image Slider by Ays – Responsive Slider and Carousel 2.5.0未満
プラグイン SQLI Poll Maker 3.2.1未満
プラグイン SQLI Secure Copy Content Protection and Content Locking 2.6.7未満
プラグイン SSRF RSVPMaker 8.7.3未満
プラグイン SQLI Handsome Testimonials & Reviews 2.1.1未満
プラグイン XSS WP Offload SES Lite 1.4.5未満
プラグイン XSS Profile Builder 3.4.8未満
プラグイン XSS TaxoPress 3.0.7.2未満
テーマ XSS Jannah 5.4.4未満
テーマ LFI Motor theme 3.1.0未満
テーマ XSS Real Estate 7 3.1.1未満
テーマ XSS Jannah 5.4.5未満
テーマ RFI Onair2 3.9.9.2未満
テーマ XSS Newspaper 11未満