WordPress 2021年11月_脆弱性レポート 2021/12/28
2021年11月度のWordPressに関する脆弱性レポートをお知らせします。
11月度全体の脆弱性報告件数としては99件となっており、2021年10月度から32件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が2件、テーマが0件、プラグインが97件でした。
本体に関しまして、今月は脆弱性が発生しております。
テーマに関しましては、今月は脆弱性が発生しておりませんでした。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
プラグインに関しましては先月から34件減少し、97件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
アクティブインストール200万以上、総ダウンロード数2400万以上の人気プラグイン『LiteSpeed Cache』にBYPASSとXSSの脆弱性が発生しております。
このプラグインは、LiteSpeed Webサーバーで利用できるキャッシュ機能プラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン4.4.4以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- ProfilePressにてACCESS CONTROLS
- Download ManagerにてXSS
- WP Reset ProにてNO AUTHORISATIONとCSRF
- Caldera formsにてXSS
- Paid Memberships ProにてXSS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで51件、2位がSQLIで17件、3位がCSRFで10件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2021年11月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2021年11月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | UNKNOWN | WordPress | 5.8未満 |
| 本体 | UNKNOWN | WordPress | 5.8.2未満 |
| プラグイン | ACCESS CONTROLS | Contest Gallery | 13.1.0.6未満 |
| プラグイン | XSS | Check & Log Email | 1.0.4未満 |
| プラグイン | SQLI | BSK PDF Manager | 3.1.2未満 |
| プラグイン | ACCESS CONTROLS | Stylish Cost Calculator | 7.04未満 |
| プラグイン | XSS | Shop Page WP | 1.2.8未満 |
| プラグイン | XSS | WP RSS Aggregator | 4.19.2未満 |
| プラグイン | XSS | GenerateBlocks | 1.4.0未満 |
| プラグイン | SQLI | Email Before Download | 6.8未満 |
| プラグイン | SQLI | myCred | 2.3未満 |
| プラグイン | XSS | Google Maps Easy | 1.10.1未満 |
| プラグイン | XSS | My Calendar | 3.2.18未満 |
| プラグイン | XSS | ARForms Form Builder | 1.5未満 |
| プラグイン | AUTHBYPASS | WP DSGVO Tools (GDPR) | 3.1.24未満 |
| プラグイン | XSS | WP All Import | 3.6.3未満 |
| プラグイン | XSS | WP Google Fonts | 3.1.5未満 |
| プラグイン | SQLI | Registrations for the Events Calendar | 2.7.6未満 |
| プラグイン | XSS | LoginWP | 3.0.0.5未満 |
| プラグイン | XSS | WooCommerce Currency Switcher | 1.3.7.1未満 |
| プラグイン | SQLI | Secure Copy Content Protection and Content Locking | 2.8.2未満 |
| プラグイン | XSS | Bookly | 20.3.1未満 |
| プラグイン | XSS | Email Log | 2.4.8未満 |
| プラグイン | NO AUTHORISATION | Tawk.to Live Chat | 0.6.0未満 |
| プラグイン | SQLI | WP Data Access | 5.0.0未満 |
| プラグイン | XSS | PDF.js Viewer | 2.0.2未満 |
| プラグイン | SQLI | LearnPress | 4.1.4未満 |
| プラグイン | XSS | Get Custom Field Values | 4.0.1未満 |
| プラグイン | INCORRECT AUTHORISATION | Get Custom Field Values | 4.0未満 |
| プラグイン | XSS | Booking Package | 1.5.11未満 |
| プラグイン | NO AUTHORISATION | WP Reset Pro | 5.99未満 |
| プラグイン | CSRF | WP Reset Pro | 5.99未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Like Button Rating | 2.6.38未満 |
| プラグイン | XSS | Caldera forms | 1.9.5未満 |
| プラグイン | XSS | Starter Templates | 2.7.1未満 |
| プラグイン | XSS | Contact Form Email | 1.3.25未満 |
| プラグイン | XSS | Pixel Cat Lite | 2.6.3未満 |
| プラグイン | CSRF | Pixel Cat Lite | 2.6.2未満 |
| プラグイン | LFI | All-In-One-Gallery | 2.5.0未満 |
| プラグイン | SQLI | StopBadBots | 6.67未満 |
| プラグイン | INCORRECT AUTHORISATION | Temporary Login Without Password | 1.7.1未満 |
| プラグイン | XSS | ProfilePress | 3.2.3未満 |
| プラグイン | XSS | ProfilePress | 3.2.3未満 |
| プラグイン | SQLI | Modern Events Calendar | 6.1.5未満 |
| プラグイン | XSS | Modern Events Calendar Lite | 6.1.5未満 |
| プラグイン | XSS | Auto Featured Image | 3.9.3未満 |
| プラグイン | XSS | Ultimate NoFollow | 1.4.8以下 |
| プラグイン | XSS | NEX-Forms | 7.9.4以下 |
| プラグイン | SQLI | SEO Booster | 3.7以下 |
| プラグイン | XSS | WP System Log | 1.0.21未満 |
| プラグイン | XSS | Inspirational Quote Rotator | 1.0.0以下 |
| プラグイン | XSS | Single Post Exporter | 1.1.1以下 |
| プラグイン | XSS | Flex Local Fonts | 1.0.0以下 |
| プラグイン | CSRF | WP Admin Logo Changer | 1.0以下 |
| プラグイン | NO AUTHORISATION | Contact Form Advanced Database | 1.0.8以下 |
| プラグイン | XSS | Shiny Buttons | 1.1.0以下 |
| プラグイン | CSRF | Filter Portfolio Gallery | 1.5以下 |
| プラグイン | CSRF | WP Limits | 1.0以下 |
| プラグイン | ACCESS CONTROLS | Page/Post Content Shortcode | 1.0以下 |
| プラグイン | ACCESS CONTROLS | Improved Include Page | 1.2以下 |
| プラグイン | SQLI | Mediamatic | 2.7以下 |
| プラグイン | XSS | Display Post Metadata | 1.5.0未満 |
| プラグイン | OBJECT INJECTION | ToTop Link | 1.7.1以下 |
| プラグイン | ACCESS CONTROLS | User Meta Shortcodes | 0.5以下 |
| プラグイン | SQLI | Quotes Collection | 2.5.2以下 |
| プラグイン | CSRF | Push Notifications for WordPress (Lite) | 6.0.1未満 |
| プラグイン | XSS | SportsPress | 2.7.9未満 |
| プラグイン | UPLOAD | Directorist – Business Directory Plugin | 7.0.6.2未満 |
| プラグイン | XSS | Preview E-mails for WooCommerce | 2.0.0未満 |
| プラグイン | CSRF | Backup Migration | 1.1.6未満 |
| プラグイン | CSRF | Easy Registration Forms | 2.1.1以下 |
| プラグイン | XSS | Logo Carousel | 3.4.2未満 |
| プラグイン | IDOR | Logo Carousel | 3.4.2未満 |
| プラグイン | SQLI | Ni WooCommerce Custom Order Status | 1.9.7未満 |
| プラグイン | SQLI | WCFM – WooCommerce Multivendor Marketplace | 3.4.12未満 |
| プラグイン | XSS | Everest Forms | 1.8.0未満 |
| プラグイン | SQLI | WP Visitor Statistics (Real Time Traffic) | 4.8未満 |
| プラグイン | XSS | Icegram | 2.0.5未満 |
| プラグイン | XSS | Blog2Social | 6.8.7未満 |
| プラグイン | NO AUTHORISATION | WP Guppy | 1.3未満 |
| プラグイン | XSS | Paid Memberships Pro | 2.6.6未満 |
| プラグイン | XSS | Gwolle Guestbook | 4.2.0未満 |
| プラグイン | XSS | WPFront User Role Editor | 3.2.1.11184 未満 |
| プラグイン | XSS | Tickera | 3.4.8.3未満 |
| プラグイン | NO AUTHORISATION | Hide My WP | 6.2.4未満 |
| プラグイン | SQLI | Hide My WP | 6.2.4未満 |
| プラグイン | XSS | Awesome Support | 6.0.7未満 |
| プラグイン | SQLI | Rich Reviews by Starfish | 1.9.6未満 |
| プラグイン | XSS | Typebot | 1.4.3未満 |
| プラグイン | XSS | Contact Form & Lead Form Elementor Builder | 1.6.4未満 |
| プラグイン | XSS | Download Manager | 3.2.22未満 |
| プラグイン | XSS | WP RSS Aggregator | 4.19.3未満 |
| プラグイン | XSS | Buttonizer – Smart Floating Action Button | 2.5.5未満 |
| プラグイン | XSS | WP Mail Logging | 1.10.0未満 |
| プラグイン | CSRF | Stetic | 1.0.9未満 |
| プラグイン | CSRF | Contact Form With Captcha | 1.6.2以下 |
| プラグイン | XSS | Asgaros Forums | 1.15.14未満 |
| プラグイン | BYPASS | LiteSpeed Cache | 4.4.4未満 |
| プラグイン | XSS | LiteSpeed Cache | 4.4.4未満 |