Pocket

WordPress 2021年11月_脆弱性レポート  2021/12/28

2021年11月度のWordPressに関する脆弱性レポートをお知らせします。

11月度全体の脆弱性報告件数としては99件となっており、2021年10月度から32件減少しております。

個所別レポート

個所別の発生件数は、それぞれ本体が2件、テーマが0件、プラグインが97件でした。

本体に関しまして、今月は脆弱性が発生しております。

テーマに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。

プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

トピックス

プラグインに関しましては先月から34件減少し、97件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。

以下、有名プラグインについて詳述します。

アクティブインストール200万以上、総ダウンロード数2400万以上の人気プラグイン『LiteSpeed Cache』にBYPASSとXSSの脆弱性が発生しております。

このプラグインは、LiteSpeed Webサーバーで利用できるキャッシュ機能プラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン4.4.4以上への更新によって塞ぐことができます。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

  • ProfilePressにてACCESS CONTROLS
  • Download ManagerにてXSS
  • WP Reset ProにてNO AUTHORISATIONとCSRF
  • Caldera formsにてXSS
  • Paid Memberships ProにてXSS

また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで51件、2位がSQLIで17件、3位がCSRFで10件でした。

トピックス

XSSの発生件数が一番多く、例月通りの傾向です。

脆弱性一覧

2021年11月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2021年11月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
本体 UNKNOWN WordPress 5.8未満
本体 UNKNOWN WordPress 5.8.2未満
プラグイン ACCESS CONTROLS Contest Gallery 13.1.0.6未満
プラグイン XSS Check & Log Email 1.0.4未満
プラグイン SQLI BSK PDF Manager 3.1.2未満
プラグイン ACCESS CONTROLS Stylish Cost Calculator 7.04未満
プラグイン XSS Shop Page WP 1.2.8未満
プラグイン XSS WP RSS Aggregator 4.19.2未満
プラグイン XSS GenerateBlocks 1.4.0未満
プラグイン SQLI Email Before Download 6.8未満
プラグイン SQLI myCred 2.3未満
プラグイン XSS Google Maps Easy 1.10.1未満
プラグイン XSS My Calendar 3.2.18未満
プラグイン XSS ARForms Form Builder 1.5未満
プラグイン AUTHBYPASS WP DSGVO Tools (GDPR) 3.1.24未満
プラグイン XSS WP All Import 3.6.3未満
プラグイン XSS WP Google Fonts 3.1.5未満
プラグイン SQLI Registrations for the Events Calendar 2.7.6未満
プラグイン XSS LoginWP 3.0.0.5未満
プラグイン XSS WooCommerce Currency Switcher 1.3.7.1未満
プラグイン SQLI Secure Copy Content Protection and Content Locking 2.8.2未満
プラグイン XSS Bookly 20.3.1未満
プラグイン XSS Email Log 2.4.8未満
プラグイン NO AUTHORISATION Tawk.to Live Chat 0.6.0未満
プラグイン SQLI WP Data Access 5.0.0未満
プラグイン XSS PDF.js Viewer 2.0.2未満
プラグイン SQLI LearnPress 4.1.4未満
プラグイン XSS Get Custom Field Values 4.0.1未満
プラグイン INCORRECT AUTHORISATION Get Custom Field Values 4.0未満
プラグイン XSS Booking Package 1.5.11未満
プラグイン NO AUTHORISATION WP Reset Pro 5.99未満
プラグイン CSRF WP Reset Pro 5.99未満
プラグイン SENSITIVE DATA DISCLOSURE Like Button Rating 2.6.38未満
プラグイン XSS Caldera forms 1.9.5未満
プラグイン XSS Starter Templates 2.7.1未満
プラグイン XSS Contact Form Email 1.3.25未満
プラグイン XSS Pixel Cat Lite 2.6.3未満
プラグイン CSRF Pixel Cat Lite 2.6.2未満
プラグイン LFI All-In-One-Gallery 2.5.0未満
プラグイン SQLI StopBadBots 6.67未満
プラグイン INCORRECT AUTHORISATION Temporary Login Without Password 1.7.1未満
プラグイン XSS ProfilePress 3.2.3未満
プラグイン XSS ProfilePress 3.2.3未満
プラグイン SQLI Modern Events Calendar 6.1.5未満
プラグイン XSS Modern Events Calendar Lite 6.1.5未満
プラグイン XSS Auto Featured Image 3.9.3未満
プラグイン XSS Ultimate NoFollow 1.4.8以下
プラグイン XSS NEX-Forms 7.9.4以下
プラグイン SQLI SEO Booster 3.7以下
プラグイン XSS WP System Log 1.0.21未満
プラグイン XSS Inspirational Quote Rotator 1.0.0以下
プラグイン XSS Single Post Exporter 1.1.1以下
プラグイン XSS Flex Local Fonts 1.0.0以下
プラグイン CSRF WP Admin Logo Changer 1.0以下
プラグイン NO AUTHORISATION Contact Form Advanced Database 1.0.8以下
プラグイン XSS Shiny Buttons 1.1.0以下
プラグイン CSRF Filter Portfolio Gallery 1.5以下
プラグイン CSRF WP Limits 1.0以下
プラグイン ACCESS CONTROLS Page/Post Content Shortcode 1.0以下
プラグイン ACCESS CONTROLS Improved Include Page 1.2以下
プラグイン SQLI Mediamatic 2.7以下
プラグイン XSS Display Post Metadata 1.5.0未満
プラグイン OBJECT INJECTION ToTop Link 1.7.1以下
プラグイン ACCESS CONTROLS User Meta Shortcodes 0.5以下
プラグイン SQLI Quotes Collection 2.5.2以下
プラグイン CSRF Push Notifications for WordPress (Lite) 6.0.1未満
プラグイン XSS SportsPress 2.7.9未満
プラグイン UPLOAD Directorist – Business Directory Plugin 7.0.6.2未満
プラグイン XSS Preview E-mails for WooCommerce 2.0.0未満
プラグイン CSRF Backup Migration 1.1.6未満
プラグイン CSRF Easy Registration Forms 2.1.1以下
プラグイン XSS Logo Carousel 3.4.2未満
プラグイン IDOR Logo Carousel 3.4.2未満
プラグイン SQLI Ni WooCommerce Custom Order Status 1.9.7未満
プラグイン SQLI WCFM – WooCommerce Multivendor Marketplace 3.4.12未満
プラグイン XSS Everest Forms 1.8.0未満
プラグイン SQLI WP Visitor Statistics (Real Time Traffic) 4.8未満
プラグイン XSS Icegram 2.0.5未満
プラグイン XSS Blog2Social 6.8.7未満
プラグイン NO AUTHORISATION WP Guppy 1.3未満
プラグイン XSS Paid Memberships Pro 2.6.6未満
プラグイン XSS Gwolle Guestbook 4.2.0未満
プラグイン XSS WPFront User Role Editor 3.2.1.11184 未満
プラグイン XSS Tickera 3.4.8.3未満
プラグイン NO AUTHORISATION Hide My WP 6.2.4未満
プラグイン SQLI Hide My WP 6.2.4未満
プラグイン XSS Awesome Support 6.0.7未満
プラグイン SQLI Rich Reviews by Starfish 1.9.6未満
プラグイン XSS Typebot 1.4.3未満
プラグイン XSS Contact Form & Lead Form Elementor Builder 1.6.4未満
プラグイン XSS Download Manager 3.2.22未満
プラグイン XSS WP RSS Aggregator 4.19.3未満
プラグイン XSS Buttonizer – Smart Floating Action Button 2.5.5未満
プラグイン XSS WP Mail Logging 1.10.0未満
プラグイン CSRF Stetic 1.0.9未満
プラグイン CSRF Contact Form With Captcha 1.6.2以下
プラグイン XSS Asgaros Forums 1.15.14未満
プラグイン BYPASS LiteSpeed Cache 4.4.4未満
プラグイン XSS LiteSpeed Cache 4.4.4未満