WordPress 2021年10月_脆弱性レポート 2021/11/30
2021年10月度のWordPressに関する脆弱性レポートをお知らせします。
10月度全体の脆弱性報告件数としては131件となっており、2021年9月度から6件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、プラグインが130件、テーマが1件でした。
本体に関しまして、今月も脆弱性が発生しております。
プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
プラグインに関しましては先月から3件減少し、131件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール100万以上、総ダウンロード数6300万以上の人気プラグイン『OptinMonster』にSENSITIVE DATA DISCLOSUREの脆弱性が発生しております。
このプラグインは、サイトにポップアップやフローティングバーを表示することができるリードキャプチャーツールのプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン2.6.5以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール100万以上、総ダウンロード数2943万以上の人気プラグイン『Ninja Forms』にSQLIの脆弱性が発生しております。
このプラグインは、お問い合わせフォームを簡単に作成・設置できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.6.4以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- WP Fastest CacheにてMULTIとCSRF
- Loco TranslateにてINJECTION
- MainWP ChildにてSQLI
- WPS Hide LoginにてBYPASS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで61件、2位がSQLIで23件、3位がCSRFで18件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2021年10月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2021年10月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | ACCESS CONTROLS | Stripe For WooCommerce 3.0.0 – 3.3.9 – Missing Authorization Controls to Financial Account Hijacking | 3.0.0 – 3.3.9 |
| プラグイン | XSS | Ivory Search < 4.7 - Reflected Cross-Site Scripting | 4.7 未満 |
| プラグイン | XSS | Events Made Easy < 2.2.24 - Admin+ Stored Cross-Site Scripting | 2.2.24 未満 |
| プラグイン | XSS | BP Better Messages < 1.9.9.41 - Reflected Cross-Site Scripting | 1.9.9.41 未満 |
| プラグイン | CSRF | BP Better Messages < 1.9.9.41 - Multiple CSRF | 1.9.9.41 未満 |
| プラグイン | CSRF | Far Future Expiry Header < 1.5 - Plugin's Settings Update via CSRF | 1.5 未満 |
| プラグイン | ACCESS CONTROLS | Image Source Control < 2.3.1 - Contributor+ Arbitrary Post Meta Value Change | 2.3.1 未満 |
| プラグイン | INCORRECT AUTHORISATION | Logo Slider and Showcase < 1.3.37 - Editor Plugin's Settings Update | 1.3.37 未満 |
| プラグイン | XSS | MP3 Audio Player for Music, Radio & Podcast by Sonaar < 2.4.2 - Multiple Admin+ Cross Site Scripting | 2.4.2 未満 |
| プラグイン | CSRF | Paypal Donation < 1.3.1 - CSRF to Arbitrary Post Deletion | 1.3.1 未満 |
| プラグイン | CSRF | Paypal Donation < 1.3.1 - CSRF to Stored Cross-Site Scripting | 1.3.1 未満 |
| プラグイン | XSS | Coming Soon, Under Construction & Maintenance Mode By Dazzler < 1.6.7 - Admin+ Stored Cross-Site Scripting | 1.6.7 未満 |
| プラグイン | XSS | Translate WordPress – Google Language Translator < 6.0.12 - Admin+ Stored Cross-Site Scripting | 6.0.12 未満 |
| プラグイン | XSS | Booking.com Product Helper <= 1.0.1 - Admin+ Stored Cross-Site Scripting | 1.0.1 以下 |
| プラグイン | XSS | Booking.com Banner Creator <= 1.4.2 - Admin+ Stored Cross-Site Scripting | 1.4.2 以下 |
| プラグイン | ACCESS CONTROLS | Simple Download Monitor < 3.9.6 - Arbitrary Thumbnails Removal | 3.9.6 未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Simple Download Monitor < 3.9.6 - Unauthenticated Log Access | 3.9.6 未満 |
| プラグイン | XSS | Simple Download Monitor < 3.9.5 - Reflected Cross-Site Scripting | 3.9.5 未満 |
| プラグイン | XSS | Simple Download Monitor < 3.9.5 - Contributor+ Stored Cross-Site Scripting via File Thumbnail | 3.9.5 未満 |
| プラグイン | ACCESS CONTROLS | Batch Cat <= 0.3 - Subscriber+ Arbitrary Categories Add/Set/Delete to Posts | 0.3 以下 |
| プラグイン | ACCESS CONTROLS | WP Survey Plus <= 1.0 - Subscriber+ AJAX Calls | 1.0 以下 |
| プラグイン | SQLI | WP Bannerize 2.0.0 – 4.0.2 – Authenticated SQL Injection | 2.0.0 – 4.0.2 |
| プラグイン | CSRF | Genie WP Favicon <= 0.5.2 - Arbitrary Favicon Change via CSRF | 0.5.2 以下 |
| プラグイン | ACCESS CONTROLS | Phoenix Media Rename < 3.4.4 - Author Arbitrary Media File Renaming | 3.4.4 未満 |
| プラグイン | SQLI | Visitor Traffic Real Time Statistics < 3.9 - Subscriber+ SQL Injection | 3.9 未満 |
| プラグイン | XSS | Formidable Form Builder < 5.0.07 - Admin+ Stored Cross-Site Scripting | 5.0.07 未満 |
| プラグイン | XSS | WP All Export < 1.3.1 - Admin+ Stored Cross-Site Scripting | 1.3.1 未満 |
| プラグイン | CSRF | Redirect 404 Error Page to Homepage or Custom Page with Logs < 1.7.9 - Log Deletion via CSRF | 1.7.9 未満 |
| プラグイン | UPLOAD | Access Demo Importer < 1.0.7 - Subscriber+ Arbitrary File Upload | 1.0.7 未満 |
| プラグイン | SQLI | Unlimited PopUps <= 4.5.3 - Author+ SQL Injection | 4.5.3 以下 |
| プラグイン | SQLI | Schreikasten <= 0.14.18 - Author+ SQL Injections | 0.14.18 以下 |
| プラグイン | SQLI | Post Content XMLRPC <= 1.0 - Admin+ SQL Injections | 1.0 以下 |
| プラグイン | SQLI | Wow Forms <= 3.1.3 - Admin+ SQL Injection | 3.1.3 以下 |
| プラグイン | SQLI | G Auto-Hyperlink <= 1.0.1 - Admin+ SQL Injection | 1.0.1 以下 |
| プラグイン | SQLI | Chameleon CSS <= 1.2 - Subscriber+ SQL Injection | 1.2 以下 |
| プラグイン | SQLI | SpiderCatalog <= 1.7.3 - Admin+ SQL Injection | 1.7.3 以下 |
| プラグイン | XSS | Support Board < 3.3.5 - Agent+ Stored Cross-Site Scripting | 3.3.5 未満 |
| プラグイン | XSS | Inline Related Posts < 3.0.5 - Admin+ Cross-Site Scripting | 3.0.5 未満 |
| プラグイン | XSS | WPSchoolPress < 2.1.17 - Multiple Admin+ Stored Cross-Site Scripting | 2.1.17 未満 |
| プラグイン | SQLI | WPSchoolPress < 2.1.10 - Multiple Authenticated SQL Injections | 2.1.10 未満 |
| テーマ | IDOR | Squaretype Modern Blog < 3.0.4 - Unauthenticated Private/Schedule Posts Disclosure | 3.0.4 未満 |
| プラグイン | XSS | Print-O-Matic < 2.0.3 - Admin+ Stored Cross-Site Scripting | 2.0.3 未満 |
| プラグイン | SQLI | Pie Register < 3.7.1.6 - Unauthenticated SQL Injection | 3.7.1.6 未満 |
| プラグイン | AUTHBYPASS | Pie Register < 3.7.1.6 - Unauthenticated Arbitrary Login | 3.7.1.6 未満 |
| プラグイン | SQLI | MAZ Loader < 1.3.3 - Contributor+ SQL Injection | 1.3.3 未満 |
| プラグイン | XSS | Storefront Footer Text <= 1.0.1 - Admin+ Stored Cross-Site Scripting | 1.0.1 以下 |
| プラグイン | XSS | Quiz Tool Lite <= 2.3.15 - Multiple Admin+ Stored Cross-Site Scripting | 2.3.15 以下 |
| プラグイン | XSS | Qwizcards < 3.62 - Admin+ Stored Cross Site Scripting | 3.62 未満 |
| プラグイン | INJECTION | Loco Translate < 2.5.4 - Authenticated PHP Code Injection | 2.5.4 未満 |
| プラグイン | CSRF | 404 to 301 < 3.0.9 - Logs Deletion via CSRF | 3.0.9 未満 |
| プラグイン | ACCESS CONTROLS | Post Expirator < 2.6.0 - Contributor+ Arbitrary Post Schedule Deletion | 2.6.0 未満 |
| プラグイン | SQLI | Header Footer Code Manager < 1.1.14 - Admin+ SQL Injections | 1.1.14 未満 |
| プラグイン | XSS | WP Header Images < 2.0.1 - Reflected Cross-Site Scripting | 2.0.1 未満 |
| プラグイン | CSRF | wpDiscuz < 7.3.4 - Arbitrary Comment Addition/Edition/Deletion via CSRF | 7.3.4 未満 |
| プラグイン | SQLI | Asgaros Forum < 1.15.13 - Unauthenticated SQL Injection | 1.15.13 未満 |
| プラグイン | CSRF | WP SEO Redirect 301 < 2.3.2 - Redirect Deletion via CSRF | 2.3.2 未満 |
| プラグイン | SQLI | WCFM – Frontend Manager for WooCommerce < 6.5.12 - Customer/Subscriber+ SQL Injection | 6.5.12 未満 |
| プラグイン | SQLI | Affiliate Manager < 2.8.7 - Admin+ SQL injection | 2.8.7 未満 |
| プラグイン | RCE | Similar Posts < 3.1.6 - Admin+ Arbitrary PHP Code Execution | 3.1.6 未満 |
| プラグイン | XSS | Testimonial Builder < 1.6.0 - Admin+ Stored Cross-Site Scripting | 1.6.0 未満 |
| プラグイン | ACCESS CONTROLS | Brizy 1.0.127 – 2.3.11 – Incorrect Authorization to Post Modification | 1.0.127 – 2.3.11 |
| プラグイン | XSS | Brizy < 2.3.12 - Authenticated Stored Cross-Site Scripting | 2.3.12 未満 |
| プラグイン | UPLOAD | Brizy < 2.3.12 - Authenticated File Upload and Path Traversal | 2.3.12 未満 |
| プラグイン | CSRF | Colorful Categories < 2.0.15 - Arbitrary Colors Update via CSRF | 2.0.15 未満 |
| プラグイン | MULTI | WP Fastest Cache < 0.9.5 - Subscriber+ SQL Injection | 0.9.5 未満 |
| プラグイン | CSRF | WP Fastest Cache < 0.9.5 - CSRF to Stored Cross-Site Scripting | 0.9.5 未満 |
| プラグイン | XSS | Business Manager <= 1.4.5 - Admin+ Stored Cross-Site Scripting | 1.4.5 以下 |
| プラグイン | XSS | Job Board Vanila <= 1.0 - Admin+ Stored Cross-Site Scripting | 1.0 以下 |
| プラグイン | XSS | WpGenius Job Listing <= 1.0.2 - Admin+ Stored Cross-Site Scripting | 1.0.2 以下 |
| プラグイン | XSS | Job Manager <= 0.7.25 - Admin+ Stored Cross-Site Scripting | 0.7.25 以下 |
| プラグイン | XSS | Job Portal <= 0.0.1 - Admin+ Stored Cross-Site Scripting | 0.0.1 以下 |
| プラグイン | XSS | MyBB Cross-Poster <= 1.0 - Admin+ Stored Cross-Site Scripting | 1.0 以下 |
| プラグイン | XSS | KJM Admin Notices <= 2.0.1 - Admin+ Stored Cross-Site Scripting | 2.0.1 以下 |
| プラグイン | XSS | HAL < 2.2 - Admin+ Stored Cross-Site Scripting | 2.2 未満 |
| プラグイン | XSS | Author Bio Box < 3.4.0 - Admin+ Stored Cross-Site Scripting | 3.4.0 未満 |
| プラグイン | XSS | YOP Poll < 6.3.1 - Author+ Stored Cross-Site Scripting via Options Module | 6.3.1 未満 |
| プラグイン | XSS | YOP Poll < 6.3.1 - Author+ Stored Cross-Site Scripting via Preview Module | 6.3.1 未満 |
| プラグイン | XSS | Indeed Job Importer <= 1.0.5 - Admin+ Stored Cross-Site Scripting | 1.0.5 以下 |
| プラグイン | XSS | MPL-Publisher – Self-publish your book & ebook < 1.30.4 - Admin+ Stored Cross-Site Scripting | 1.30.4未満 |
| プラグイン | XSS | JobBoardWP <= 1.0.7 - Admin+ Stored Cross-Site Scripting | 1.0.7 以下 |
| プラグイン | XSS | Shared Files < 1.6.61 - Admin+ Stored Cross-Site Scripting | 1.6.61 未満 |
| プラグイン | XSS | QR Redirector < 1.6.1 - Contributor+ Stored Cross-Site Scripting | 1.6.1 未満 |
| プラグイン | ACCESS CONTROLS | QR Redirector < 1.6 - Subscriber+ Arbitrary QR Redirect Response Status Update | 1.6 未満 |
| プラグイン | CSRF | MouseWheel Smooth Scroll < 5.7 - Plugin's Setting Update via CSRF | 5.7 未満 |
| プラグイン | ACCESS CONTROLS | Insert Pages < 3.7.0 - Contributor+ Arbitrary Posts/Pages Access | 3.7.0 未満 |
| プラグイン | XSS | Insert Pages < 3.7.0 - Contributor+ Stored Cross-Site Scripting | 3.7.0 未満 |
| プラグイン | SQLI | SEO Redirection < 8.2 - Subscriber+ SQL Injection | 8.2 未満 |
| プラグイン | CSRF | Paypal Donation < 1.3.2 - Admin+ Stored Cross-Site Scripting | 1.3.2 未満 |
| プラグイン | CSRF | Simple JWT Login < 3.2.1 - Arbitrary Settings Update to Site Takeover via CSRF | 3.2.1 未満 |
| プラグイン | XSS | My Tickets < 1.8.31 - Unauthenticated Stored Cross-Site Scripting | 1.8.31 未満 |
| プラグイン | XSS | Client Invoicing by Sprout Invoices < 19.9.7 - Admin+ Stored Cross-Site Scripting | 19.9.7 未満 |
| プラグイン | SQLI | Email Log < 2.4.7 - Admin+ SQL Injection | 2.4.7 未満 |
| プラグイン | CSRF | WP Performance Score Booster < 2.1 - Settings Change via CSRF | 2.1 未満 |
| プラグイン | SQLI | Stream < 3.8.2 - Admin+ SQL Injection | 3.8.2 未満 |
| プラグイン | XSS | Helpful < 4.4.59 - Admin+ Stored Cross-Site Scripting | 4.4.59 未満 |
| プラグイン | XSS | LearnPress < 4.1.3.2 - Admin+ Stored Cross-Site Scripting | 4.1.3.2 未満 |
| プラグイン | XSS | Content Staging <= 2.0.1 - Admin+ Stored Cross-Site Scripting | 2.0.1 以下 |
| プラグイン | XSS | Leaky Paywall <= 4.16.5 - Admin+ Stored Cross-Site Scripting | 4.16.5 以下 |
| プラグイン | XSS | Tutor LMS < 1.9.11 - Reflected Cross-Site Scripting | 1.9.11 未満 |
| プラグイン | XSS | Logo Showcase with Slick Slider < 1.2.4 - Author+ Stored Cross Site Scripting | 1.2.4 未満 |
| プラグイン | ACCESS CONTROLS | Download Plugin < 1.6.1 - Subscriber+ Arbitrary Plugin Activation | 1.6.1 未満 |
| プラグイン | LFI | Images to WebP < 1.9 - Multiple Cross Site Request Forgery (CSRF) | 1.9 未満 |
| プラグイン | CSRF | Images to WebP < 1.9 - Authenticated Local File Inclusion | 1.9 未満 |
| プラグイン | XSS | Easy Digital Downloads < 2.11.2.1 - Reflected Cross-Site Scripting | 2.11.2.1 未満 |
| プラグイン | XSS | Advanced Access Manager < 6.8.0 - Admin+ Stored Cross-Site Scripting | 6.8.0 未満 |
| プラグイン | XSS | BetterLinks < 1.2.6 - Admin+ Stored Cross-Site Scripting | 1.2.6 未満 |
| プラグイン | XSS | Forminator < 1.15.4 - Admin+ Stored Cross-Site Scripting | 1.15.4 未満 |
| プラグイン | ACCESS CONTROLS | Sassy Social Share 3.3.23 – Missing Access Controls to PHP Object Injection | 3.3.23 |
| プラグイン | UPLOAD | Catch Themes Demo Import < 1.8 - Admin+ Arbitrary File Upload | 1.8 未満 |
| プラグイン | XSS | Simple Job Board < 2.9.5 - Admin+ Stored Cross-Site Scripting | 2.9.5 未満 |
| プラグイン | DOS | Reviews Plus < 1.2.14 - Subscriber+ Reviews DoS | 1.2.14 未満 |
| プラグイン | XSS | Slideshow Gallery < 1.7.4 - Admin+ Stored Cross-Site Scripting | 1.7.4 未満 |
| プラグイン | SQLI | MainWP Child < 4.1.8 - Admin+ SQL Injection | 4.1.8 未満 |
| プラグイン | XSS | eCommerce Product Catalog for WordPress < 3.0.39 - Reflected Cross-Site Scripting | 3.0.39 未満 |
| プラグイン | XSS | Video Lessons Manager – Admin+ Stored Cross-Site Scripting | |
| プラグイン | CSRF | MAZ Loader <= 1.3.4 - Arbitrary Loader Deletion via CSRF | 1.3.4 以下 |
| プラグイン | SQLI | Duplicate Post < 1.2.0 - Authenticated SQL Injection | 1.2.0 未満 |
| プラグイン | XSS | Notification < 8.0.0 - Admin+ Stored Cross-Site Scripting | 8.0.0 未満 |
| プラグイン | XSS | Media-Tags <= 3.2.0.2 - Admin+ Stored Cross-Site Scripting | 3.2.0.2 以下 |
| プラグイン | XSS | Popup Anything < 2.0.4 - Contributor+ Stored Cross-Site Scripting | 2.0.4 未満 |
| プラグイン | XSS | About Author Box < 1.0.2 - Contributor+ Stored Cross-Site Scripting | 1.0.2 未満 |
| プラグイン | ACCESS CONTROLS | Bulk Datetime Change < 1.12 - Missing Authorisation | 1.12 未満 |
| プラグイン | SQLI | Ninja Forms < 3.6.4 - Admin+ SQL Injection | 3.6.4 未満 |
| プラグイン | ACCESS CONTROLS | HashThemes Demo Importer < 1.1.2 - Improper Access Control to Blog Reset | 1.1.2 未満 |
| プラグイン | SQLI | Mang Board WP < 1.6.9 - SQL Injection | 1.6.9 未満 |
| プラグイン | XSS | Registrations for The Events Calendar < 2.7.5 - Reflected Cross-Site Scripting | 2.7.5 未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | OptinMonster < 2.6.5 - Unprotected REST-API Endpoints | 2.6.5 未満 |
| プラグイン | BYPASS | WPS Hide Login < 1.9.1 - Protection Bypass with Referer-Header | 1.9.1 未満 |
| プラグイン | CSRF | URL Shortify < 1.5.1 - Arbitrary Link/Group Deletion via CSRF | 1.5.1 未満 |
| プラグイン | XSS | NextScripts: Social Networks Auto-Poster < 4.3.21 - Reflected Cross-Site Scripting | 4.3.21 未満 |
| プラグイン | ACCESS CONTROLS | Smash Balloon Social Post Feed < 4.0.1 - Subscriber+ Arbitrary Plugin Settings Update to Stored XSS | 4.0.1 未満 |