WordPress 2021年8月_脆弱性レポート 2021/9/30
2021年8月度のWordPressに関する脆弱性レポートをお知らせします。
8月度全体の脆弱性報告件数としては108件となっており、2021年7月度から18件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、プラグインが108件、テーマが0件でした。
本体に関しまして、今月は脆弱性が発生しておりません。
プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
プラグインに関しましては先月から18件増加し、108件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール100万以上、総ダウンロード数1300万以上の人気プラグイン『Cookie Notice & Compliance for GDPR / CCPA』にXSSの脆弱性が発生しております。
このプラグインは、WordPressでCookieの利用の同意を得る要素を設置できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン2.1.4以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール200万以上、総ダウンロード数1200万以上の人気プラグイン『Duplicate Page』にXSSの脆弱性が発生しております。
このプラグインは、WordPressで公開している記事をワンクリックで投稿したり、記事を複製することができるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン4.4.4以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- AddToAnyにてXSS
- Shortcodes UltimateにてXSS
- BuddyPressにてSENSITIVE DATA DISCLOSUREとSQLI
- ProfilePressにてXSS
- Smash Balloon Social Post FeedにてXSS
- ShareThis Dashboard for Google AnalyticsにてXSS
- SEOPressにてXSS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにて、ご利用のプラグインが提供元によって継続的に管理されていて最新版かどうか、脆弱性に対して対策が施されているかどうか、いま一度ご確認いただくことを推奨いたします。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで70件、2位がSQLiで12件、3位がCSRFで7件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2021年8月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2021年8月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | XSS | Sitewide Notice WP | 2.3以下 |
| プラグイン | XSS | Business Hours Indicator | 2.3.5未満 |
| プラグイン | OBJECT INJECTION | Bold Page Builder | 3.1.6未満 |
| プラグイン | XSS | ShareThis Dashboard for Google Analytics | 2.5.2未満 |
| プラグイン | XSS | Email Encoder | 2.1.2未満 |
| プラグイン | XSS | SMS Alert Order Notifications – WooCommerce | 3.4.7未満 |
| プラグイン | XSS | Availability Calendar | 1.2.2未満 |
| プラグイン | SQLI | Availability Calendar | 1.2.1未満 |
| プラグイン | XSS | WP Mapa Politico Espana | 3.7.0未満 |
| プラグイン | XSS | Paid Member Subscriptions | 2.4.2未満 |
| プラグイン | XSS | Highlight | 0.9.3未満 |
| プラグイン | XSS | Cookie Notice & Consent Banner for GDPR & CCPA Compliance | 1.7.2未満 |
| プラグイン | CSRF | WP Fusion Lite | 3.37.30未満 |
| プラグイン | XSS | WP Fusion Lite | 3.37.30未満 |
| プラグイン | SQLI | Block and Stop Bad Bots | 6.60未満 |
| プラグイン | SQLI | WP Simple Booking Calendar | 2.0.6未満 |
| プラグイン | XSS | ProfilePress | 3.1.11未満 |
| プラグイン | XSS | AddToAny | 1.7.46未満 |
| プラグイン | XSS | Stop Spammers Security | 2021.18未満 |
| プラグイン | CSRF | Keywords & Meta | 3.0以下 |
| プラグイン | XSS | Titan Framework | 1.12.1以下 |
| プラグイン | XSS | Quiz And Survey Master | 7.1.14未満 |
| プラグイン | XSS | Book appointment Online | 1.39未満 |
| プラグイン | XSS | Daily Prayer Time | 2021.08.10未満 |
| プラグイン | XSS | Custom Post View Generator | 0.4.6以下 |
| プラグイン | XSS | Software License Manager | 4.4.8未満 |
| プラグイン | XSS | Per Page Add to Head | 1.4.4以下 |
| プラグイン | CSRF | Per Page Add to Head | 1.4.4未満 |
| プラグイン | XSS | Securimage-WP-Fixed | 3.5.4以下 |
| プラグイン | XSS | Calendar_plugin | 1.0以下 |
| プラグイン | XSS | Add Sidebar | 2.0.0以下 |
| プラグイン | XSS | WP SEO Tags | 2.2.7以下 |
| プラグイン | XSS | Moova for WooCommerce | 3.8未満 |
| プラグイン | XSS | jQuery Tagline Rotator | 0.1.5以下 |
| プラグイン | XSS | Plugmatter Pricing Table Lite | 1.0.32以下 |
| プラグイン | XSS | Simple Popup Newsletter | 1.4.7以下 |
| プラグイン | XSS | TypoFR | 0.11以下 |
| プラグイン | XSS | WP Songbook | 2.0.11以下 |
| プラグイン | XSS | Custom Post Type Relations | 1.0以下 |
| プラグイン | XSS | 2Way VideoCalls and Random Chat | 5.2.8未満 |
| プラグイン | XSS | WP Fountain | 1.5.9未満 |
| プラグイン | XSS | Media Usage | 0.0.4未満 |
| プラグイン | XSS | Multiplayer Games | 3.7以下 |
| プラグイン | XSS | Skaut bazar | 1.3.3未満 |
| プラグイン | XSS | Smart Email Alerts | 1.0.10以下 |
| プラグイン | XSS | Simple Behance Portfolio | 0.2未満 |
| プラグイン | UPLOAD | Simple eCommerce | 2.2.5未満 |
| プラグイン | XSS | WP Courses LMS | 2.0.44未満 |
| プラグイン | XSS | Smash Balloon Social Post Feed | 2.19.2未満 |
| プラグイン | XSS | Language Bar Flags | 1.0.8未満 |
| プラグイン | UPLOAD | Email Artillery | 4.1以下 |
| プラグイン | XSS | SEOPress | 5.0.0 – 5.0.3 |
| プラグイン | XSS | SP Project & Document Manager | 4.26未満 |
| プラグイン | XSS | WordPress Advanced Ticket System | 1.0.64未満 |
| プラグイン | CSRF | Fileviewer | 2.2以下 |
| プラグイン | UPLOAD | Shopp eCommerce | 1.4以下 |
| プラグイン | XSS | MF Gig Calendar | 1.1以下 |
| プラグイン | ACCESS CONTROLS | PostX Gutenberg Blocks for Po | 2.4.10以下 |
| プラグイン | SENSITIVE DATA DISCLOSURE | BuddyPress | 9.1.1未満 |
| プラグイン | SQLI | BuddyPress | 9.1.1未満 |
| プラグイン | XSS | ThinkTwit | 1.7.1未満 |
| プラグイン | XSS | Shopping Cart & eCommerce Store | 5.1.1未満 |
| プラグイン | XSS | Gutenslider | 5.2.0未満 |
| プラグイン | ACCESS CONTROLS | Visual Link Preview | 2.2.3未満 |
| プラグイン | CSRF | Print My Blog | 3.4.2未満 |
| プラグイン | XSS | Donate With QRCode | 1.4.5未満 |
| プラグイン | BYPASS | WP Cerber Security | 8.9.3未満 |
| プラグイン | SQLI | The Sorter | 1.0以下 |
| プラグイン | SQLI | Display users | 2.0.0以下 |
| プラグイン | SQLI | WP Domain Redirect | 1.0以下 |
| プラグイン | SQLI | WP iCommerce | 1.1.1以下 |
| プラグイン | SQLI | WordPress Page Contact | 1.0以下 |
| プラグイン | SQLI | WP-Board | 1.1以下 |
| プラグイン | SQLI | GSEOR | 1.3以下 |
| プラグイン | UPLOAD | Simple School Staff Directory | 1.1以下 |
| プラグイン | XSS | Limit Login Attempts | 4.0.50未満 |
| プラグイン | ACCESS CONTROLS | OMGF | 4.5.4未満 |
| プラグイン | TRAVERSAL | OMGF | 4.5.4未満 |
| プラグイン | XSS | Fonts Plugin | 3.0.3未満 |
| プラグイン | XSS | Shortcodes Ultimate | 5.10.2未満 |
| プラグイン | XSS | Post Views Counter | 1.3.5未満 |
| プラグイン | ACCESS CONTROLS | Timetable and Event Schedule by MotoPress | 2.4.2未満 |
| プラグイン | ACCESS CONTROLS | Timetable and Event Schedule by MotoPress | 2.4.2未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Timetable and Event Schedule by MotoPress | 2.4.0未満 |
| プラグイン | XSS | Timetable and Event Schedule by MotoPress | 2.3.19未満 |
| プラグイン | CSRF | Comment Link Remove and Other Comment Tools | 2.1.6未満 |
| プラグイン | XSS | WP Video Lightbox | 1.9.3未満 |
| プラグイン | XSS | Gallery Blocks with Lightbox | 2.2.1未満 |
| プラグイン | XSS | Recipe Card Blocks | 2.8.3未満 |
| プラグイン | XSS | Recipe Card Blocks | 2.8.1未満 |
| プラグイン | SQLI | Podlove Podcast Publisher | 3.5.6未満 |
| プラグイン | AUTHBYPASS | Booster for WooCommerce | 5.4.4未満 |
| プラグイン | XSS | WP Map Block | 1.2.3未満 |
| プラグイン | XSS | MX Time Zone Clocks | 3.4.1未満 |
| プラグイン | CSRF | Nested Pages | 3.1.16未満 |
| プラグイン | REDIRECT | Nested Pages | 3.1.16未満 |
| プラグイン | XSS | WordPress Real Media Library | 4.14.2未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | PostX Gutenberg Blocks Saved Templates Addon | 2.4.10未満 |
| プラグイン | XSS | PostX Gutenberg Blocks Saved Templates Addon | 2.4.10未満 |
| プラグイン | XSS | PostX Gutenberg Blocks for Post Grid | 2.4.10未満 |
| プラグイン | XSS | Duplicate Page | 4.4.3未満 |
| プラグイン | XSS | Cookie Notice & Compliance for GDPR / CCPA | 2.1.2未満 |
| プラグイン | XSS | TranslatePress | 2.0.9未満 |
| プラグイン | ACCESS CONTROLS | Countdown Block | 1.1.2未満 |
| プラグイン | XSS | CoolClock | 4.3.5未満 |
| プラグイン | XSS | Easy Social Icons | 3.0.9未満 |
| プラグイン | XSS | underConstruction | 1.19未満 |
| プラグイン | FILE DOWNLOAD | DZS Zoomsounds | 6.50未満 |