WordPress 2021年9月_脆弱性レポート 2021/10/28
2021年9月度のWordPressに関する脆弱性レポートをお知らせします。
9月度全体の脆弱性報告件数としては137件となっており、2021年8月度から29件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が3件、プラグインが134件、テーマが0件でした。
本体に関しまして、今月も脆弱性が発生しております。
プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
プラグインに関しましては先月から26件増加し、134件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール100万以上、総ダウンロード数5941万以上の人気プラグイン『OptinMonster』にXSSの脆弱性が発生しております。
このプラグインは、サイトにポップアップやフローティングバーを表示することができるリードキャプチャーツールのプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン2.6.5以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール100万以上、総ダウンロード数2943万以上の人気プラグイン『Ninja Forms』にACCESS CONTROLS、SENSITIVE DATA DISCLOSURE、XSSの脆弱性が発生しております。
このプラグインは、お問い合わせフォームを簡単に作成・設置できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.6.3以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- Gutenberg Template Library & Redux FrameworkにてSENSITIVE DATA DISCLOSUREとACCESS CONTROLS
- WordPress Download ManagerにてXSS
- LearnPressにてXSS
- Modern Events Calendar LiteにてXSS
- WP Sitemap PageにてXSS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで101件、2位がCSRFとSQLiで8件、4位がACCESS CONTROLSで7件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2021年9月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2021年9月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | XSS | WordPress | 5.4 to 5.8 |
| 本体 | INJECTION | WordPress | 5.4 to 5.8 |
| 本体 | SENSITIVE DATA DISCLOSURE | WordPress | 5.4 to 5.8 |
| プラグイン | ACCESS CONTROLS | Gutenberg Template Library & Redux Framework | 4.2.13未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Gutenberg Template Library & Redux Framework | 4.2.13未満 |
| プラグイン | SQLI | Meow Gallery | 4.1.9未満 |
| プラグイン | XSS | GeoDirectory | 2.1.1.3未満 |
| プラグイン | SQLI | Support Board | 3.3.4未満 |
| プラグイン | CSRF | Media File Renamer | 5.2.7未満 |
| プラグイン | XSS | User Registration | 2.0.2未満 |
| プラグイン | XSS | Appointment Hour Booking | 1.3.16未満 |
| プラグイン | XSS | Better Find and Replace | 1.2.9未満 |
| プラグイン | XSS | CM Tooltip Glossary | 3.9.21未満 |
| プラグイン | XSS | Bitcoin / AltCoin Payment Gateway for WooCommerce | 1.6.1未満 |
| プラグイン | XSS | Modern Events Calendar Lite | 5.22.2未満 |
| プラグイン | XSS | Weather Effect | 1.3.6未満 |
| プラグイン | CSRF | Weather Effect | 1.3.4未満 |
| プラグイン | XSS | Chained Quiz | 1.2.7.2未満 |
| プラグイン | XSS | WP Sitemap Page | 1.6.5未満 |
| プラグイン | XSS | WP Academic People List | 0.4.1以下 |
| プラグイン | XSS | Konnichiwa! Membership | 0.8.3以下 |
| プラグイン | XSS | 3D Cover Carousel | 1.0以下 |
| プラグイン | XSS | More From Google | 0.0.2以下 |
| プラグイン | XSS | simpleSAMLphp Authentication | 0.7.0以下 |
| プラグイン | XSS | Custom Menu Plugin | 1.3.3以下 |
| プラグイン | XSS | User Activation Email | 1.3.0以下 |
| プラグイン | XSS | Twitter Friends Widget | 3.1以下 |
| プラグイン | XSS | RentPress | 6.6.4以下 |
| プラグイン | SQLI | SP Rental Manager | 1.5.3以下 |
| プラグイン | XSS | User Activation Email | 1.3.0以下 |
| プラグイン | XSS | Post Title Counter | 1.1以下 |
| プラグイン | XSS | YouTube Video Inserter | 1.2.1.0以下 |
| プラグイン | XSS | Notices | 6.1以下 |
| プラグイン | XSS | DJ EmailPublish | 1.7.2以下 |
| プラグイン | XSS | Yet Another bol.com Plugin | 1.4以下 |
| プラグイン | XSS | WP-T-Wap | 1.13.2以下 |
| プラグイン | XSS | On Page SEO + Whatsapp Chat Button | 1.0.2未満 |
| プラグイン | XSS | WP Scrippets | 1.5.1以下 |
| プラグイン | XSS | WP Design Maps & Places | 1.2以下 |
| プラグイン | XSS | Wise Agent Capture Forms | 1.0以下 |
| プラグイン | XSS | Edit Comments XT | 1.0以下 |
| プラグイン | XSS | RSVPMaker Excel | 1.1以下 |
| プラグイン | XSS | Border Loading Bar | 1.0.1以下 |
| プラグイン | XSS | Simple Matted Thumbnails | 1.01以下 |
| プラグイン | XSS | WordPress Simple Shop | 1.2以下 |
| プラグイン | XSS | WooCommerce Payment Gateway Per Category | 2.0.10以下 |
| プラグイン | XSS | Custom Website Data | 2.2以下 |
| プラグイン | XSS | Advance Search | 1.1.3未満 |
| プラグイン | XSS | Integration of Moneybird for WooCommerce | 2.1.1以下 |
| プラグイン | XSS | Spideranalyse | 0.0.1以下 |
| プラグイン | XSS | OSD Subscribe | 1.2.3以下 |
| プラグイン | XSS | Feedify Web Push Notifications | 2.1.8以下 |
| プラグイン | XSS | Dropdown and scrollable Text | 2.0以下 |
| プラグイン | XSS | GNU-Mailman Integration | 1.0.6以下 |
| プラグイン | XSS | Bug Library | 2.0.4未満 |
| プラグイン | XSS | SMS OVH | 0.1未満 |
| プラグイン | XSS | MoolaMojo | 0.7.4.1以下 |
| プラグイン | XSS | WordPress InviteBox Plugin | 1.4.1以下 |
| プラグイン | LFI | wp-publications – Local File Inclusion | – |
| プラグイン | XSS | Appointment Hour Booking – WordPress Booking Plugin | 1.3.17未満 |
| プラグイン | XSS | Easy Accordion | 2.0.22未満 |
| プラグイン | CSRF | Software License Manager | 4.5.1未満 |
| プラグイン | XSS | Quiz And Survey Master | 7.3.2未満 |
| プラグイン | SQLI | Poll Maker | 3.4.2未満 |
| プラグイン | XSS | Coming Soon and Maintenance Mode | 3.5.3未満 |
| プラグイン | RCE | EditorsKit | 1.31.6未満 |
| プラグイン | XSS | Simple Social Media Share Buttons | 3.2.4未満 |
| プラグイン | XSS | Comments – wpDiscuz | 7.3.2未満 |
| プラグイン | ACCESS CONTROLS | Find My Blocks | 3.4.0未満 |
| プラグイン | XSS | Dflip Lite | 1.7.10未満 |
| プラグイン | CSRF | Compact WP Audio Player | 1.9.7未満 |
| プラグイン | XSS | Compact WP Audio Player | 1.9.7未満 |
| プラグイン | XSS | Shared Files | 1.6.57未満 |
| プラグイン | XSS | PlanSo Forms | 2.6.3未満 |
| プラグイン | COMMAND INJECTION | PDF Light Viewer | 1.4.12未満 |
| プラグイン | XSS | Podcast Subscribe Buttons | 1.4.2未満 |
| プラグイン | XSS | YITH Maintenance Mode | 1.3.8未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | BulletProof Security | 5.2未満 |
| プラグイン | XSS | eID Easy | 4.7未満 |
| プラグイン | XSS | Gutenberg PDF Viewer Block | 1.0.1未満 |
| プラグイン | ACCESS CONTROLS | Multiple Plugins from CatchThemes – Unauthorised Plugin’s Setting Change | – |
| プラグイン | XSS | Tutor LMS | 1.9.9未満 |
| プラグイン | XSS | One User Avatar | 2.3.7未満 |
| プラグイン | CSRF | One User Avatar | 2.3.7未満 |
| プラグイン | CSRF | Scroll Baner | 1.0以下 |
| プラグイン | XSS | WP Ticket | 5.10.4未満 |
| プラグイン | XSS | GamePress | 1.1.0以下 |
| プラグイン | XSS | Wechat Reward | 1.7以下 |
| プラグイン | XSS | Sociable | 4.3.4.1以下 |
| プラグイン | XSS | WP Cookie Choice | 1.1.0以下 |
| プラグイン | XSS | Easy Twitter Feed | 1.2未満 |
| プラグイン | XSS | Html5 Audio Player | 2.1.3未満 |
| プラグイン | XSS | Polo Video Gallery | 1.2以下 |
| プラグイン | XSS | StreamCast | 2.1.1未満 |
| プラグイン | SQLI | MainWP Child Reports | 2.0.8未満 |
| プラグイン | XSS | LearnPress | 4.1.3.1未満 |
| プラグイン | XSS | OptinMonster | 2.6.1未満 |
| プラグイン | XSS | Frontend Uploader | 1.3.2以下 |
| プラグイン | XSS | WP HTML Author Bio | 1.2.0以下 |
| プラグイン | XSS | jQuery Reply to Comment | 1.31以下 |
| プラグイン | XSS | Video Gallery – Vimeo and YouTube Gallery | 1.1.4以下 |
| プラグイン | XSS | Request a Quote | 2.3.5未満 |
| プラグイン | XSS | St Daily Tip | 4.7未満 |
| プラグイン | XSS | Special Text Boxes | 5.9.109以下 |
| プラグイン | SSRF | Telefication | 1.8.0以下 |
| プラグイン | SQLI | Game Server Status | 1.0以下 |
| プラグイン | XSS | Responsive WordPress Slider | 2.2.0以下 |
| プラグイン | ACCESS CONTROLS | WooCommerce | – |
| プラグイン | XSS | YT Player | 1.4未満 |
| プラグイン | XSS | Cookie Bar | 1.8.8以下 |
| プラグイン | IDOR | WP User Manager | 2.6.3未満 |
| プラグイン | XSS | Easy Media Download | 1.1.7未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Ninja Forms | 3.5.8未満 |
| プラグイン | ACCESS CONTROLS | Ninja Forms | 3.5.8未満 |
| プラグイン | XSS | YITH Maintenance Mode | 1.4.0未満 |
| プラグイン | XSS | Great Quotes | 1.0.0以下 |
| プラグイン | ACCESS CONTROLS | WP Debugging | 2.11.0未満 |
| プラグイン | SQLI | Check & Log Email | 1.0.3未満 |
| プラグイン | SQLI | Permalink Manager Lite | 2.2.13.1未満 |
| プラグイン | XSS | Visual Form Builder | 3.0.4未満 |
| プラグイン | XSS | NinjaForms | 3.5.8.2未満 |
| プラグイン | XSS | Countdown and CountUp, WooCommerce Sales Timers | 1.5.8未満 |
| プラグイン | XSS | WordPress Contact Forms by Cimatti | 1.4.12未満 |
| プラグイン | CSRF | OG Tags | 2.0.2未満 |
| プラグイン | XSS | Connections Business Directory | 10.4.3未満 |
| プラグイン | XSS | Flat Preloader | 1.5.5未満 |
| プラグイン | CSRF | Flat Preloader | 1.5.4未満 |
| プラグイン | XSS | Cool Tag Cloud | 2.26未満 |
| プラグイン | XSS | Restaurant Menu by MotoPress | 2.4.0以下 |
| プラグイン | PRIVESC | AutomatorWP | 1.7.6未満 |
| プラグイン | XSS | WP Reactions Lite | 1.3.6未満 |
| プラグイン | ACCESS CONTROLS | Stylish Price List | 6.9.1未満 |
| プラグイン | ACCESS CONTROLS | Stylish Price List | 6.9.0未満 |
| プラグイン | XSS | WPeMatico RSS Feed Fetcher | 2.6.12未満 |
| プラグイン | XSS | WordPress Download Manager | 3.2.16未満 |
| プラグイン | XSS | Modern Events Calendar Lite | 5.22.3未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Credova_Financial | 1.4.9未満 |