WordPress 2021年12月_脆弱性レポート 2022/1/25
2021年12月度のWordPressに関する脆弱性レポートをお知らせします。
12月度全体の脆弱性報告件数としては95件となっており、2021年11月度から4件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが0件、プラグインが95件でした。
本体、テーマに関しまして、今月は脆弱性が発生しておりませんでした。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
プラグインに関しましては先月から2件減少し、95件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
アクティブインストール300万以上、総ダウンロード数9000万以上の人気プラグイン『All In One SEO』にSQLIとAUTHBYPASSの脆弱性が発生しております。
このプラグインは、基礎的なSEO対策が一括して管理できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン4.1.5.3以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- UpdraftPlusにてXSS
- WooCommerce PDF Invoices & Packing SlipsにてXSS
- Smash Balloon Social Post FeedとXSS
- Product Feed PRO for WooCommerceにてXSS
- Code SnippetsにてXSS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで58件、2位がSQLIで8件、3位がCSRFで7件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2021年12月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2021年12月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | XSS | Booster for Woocommerce | 5.4.9未満 |
| プラグイン | XSS | Booster for WooCommerce | 5.4.9未満 |
| プラグイン | XSS | Booster for WooCommerce | 5.4.9未満 |
| プラグイン | TRAVERSAL | OMGF | 4.5.12未満 |
| プラグイン | TRAVERSAL | CAOS | 4.1.9未満 |
| プラグイン | XSS | WP Travel Engine | 5.3.1未満 |
| プラグイン | XSS | Variation Swatches for WooCommerce | 2.1.2未満 |
| プラグイン | XSS | Modern Events Calendar Lite | 6.2.0未満 |
| プラグイン | RCE | Button Generator | 2.3.3未満 |
| プラグイン | RCE | Modal Window | 5.2.2未満 |
| プラグイン | RCE | WP Coder | 2.5.2未満 |
| プラグイン | ACCESS CONTROLS | Tab – Accordion, FAQ | 1.3.2未満 |
| プラグイン | DOS | Stars Rating | 3.5.1未満 |
| プラグイン | XSS | Site Reviews | 5.17.3未満 |
| プラグイン | XSS | WooCommerce PDF Invoices & Packing Slips | 2.10.5未満 |
| プラグイン | XSS | Chaty Free | < 2.8.3 & Pro < 2.8.2 |
| プラグイン | XSS | UpdraftPlus | 1.16.66未満 |
| プラグイン | XSS | PowerPack Addons for Elementor | 2.6.2未満 |
| プラグイン | SQLI | Events Made Easy | 2.2.36未満 |
| プラグイン | XSS | Booking Calendar | 8.9.2未満 |
| プラグイン | SQLI | WPcalc | 2.1以下 |
| プラグイン | XSS | 10Web Social Photo Feed | 1.4.29未満 |
| プラグイン | NO AUTHORISATION | PublishPress Capabilities | 2.3.1未満 |
| プラグイン | SQLI | RegistrationMagic | 5.0.1.6未満 |
| プラグイン | AUTHBYPASS | Registration Magic | 5.0.1.8未満 |
| プラグイン | XSS | Fathom Analytics | 3.0.5未満 |
| プラグイン | CSRF | tarteaucitron.js – Cookies legislation & GDPR | 1.6未満 |
| プラグイン | CSRF | Accept Donations with PayPal | 1.3.4未満 |
| プラグイン | XSS | WP Booking System – Booking Calendar | 2.0.15未満 |
| プラグイン | XSS | WOOCS | 1.3.7.3未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | The Plus Addons for Elementor Pro | 5.0.7未満 |
| プラグイン | SQLI | The Plus Addons for Elementor Pro | 5.0.7未満 |
| プラグイン | XSS | Lets Box | 1.13.3未満 |
| プラグイン | XSS | Share One Drive | 1.15.3未満 |
| プラグイン | XSS | Out of the Box | 1.20.3未満 |
| プラグイン | XSS | Use Your Drive | 1.18.3未満 |
| プラグイン | XSS | Comment Engine Pro | 1.0以下 |
| プラグイン | SQLI | All In One SEO | 4.1.5.3未満 |
| プラグイン | AUTHBYPASS | All In One SEO | 4.1.5.3未満 |
| プラグイン | XSS | .htaccess Redirect | 0.3.1以下 |
| プラグイン | XSS | Parsian Bank Gateway for Woocommerce | 1.0以下 |
| プラグイン | XSS | Real WYSIWYG | 0.0.2以下 |
| プラグイン | XSS | Link List Manager | 1.0以下 |
| プラグイン | XSS | Simple Image Gallery | 1.0.6以下 |
| プラグイン | XSS | WooCommerce EnvioPack | 1.2以下 |
| プラグイン | XSS | Magic Post Voice | 1.2以下 |
| プラグイン | XSS | H5P CSS Editor | 1.0以下 |
| プラグイン | XSS | duoFAQ | 1.4.8以下 |
| プラグイン | TRAVERSAL | True Ranker | 2.2.4未満 |
| プラグイン | XSS | WooCommerce myghpay Payment Gateway | 3.0以下 |
| プラグイン | NO AUTHORISATION | Image Hover Effects Ultimate | 9.7.0未満 |
| プラグイン | XSS | Landing Page Builder | 1.4.9.6未満 |
| プラグイン | XSS | Smash Balloon Social Post Feed | 4.1.1未満 |
| プラグイン | CSRF | Crisp Live Chat | 0.32未満 |
| プラグイン | XSS | tarteaucitron.js – Cookies legislation & GDPR | 1.6.1未満 |
| プラグイン | XSS | Event Calendar | 1.1.51未満 |
| プラグイン | NO AUTHORISATION | Event Calendar | 1.1.51未満 |
| プラグイン | XSS | ACF Photo Gallery Field | 1.7.5未満 |
| プラグイン | REDIRECT | AnyComment | 0.2.17以下 |
| プラグイン | XSS | SEUR Oficial | 1.7.0未満 |
| プラグイン | XSS | Five Star Restaurant Reservations | 2.4.8未満 |
| プラグイン | SQLI | Asgaros Forum | 1.15.15未満 |
| プラグイン | XSS | Easy Forms for Mailchimp | 6.8.6未満 |
| プラグイン | XSS | Backup and Staging by WP Time Capsule | 1.22.7未満 |
| プラグイン | XSS | Simple Download Monitor | 3.9.11未満 |
| プラグイン | CSRF | Simple Download Monitor | 3.9.9未満 |
| プラグイン | XSS | Smart SEO Tool | 3.0.6未満 |
| プラグイン | REDIRECT | Event Tickets | 5.2.2未満 |
| プラグイン | CSRF | WP125 | 1.5.5未満 |
| プラグイン | XSS | Newsletter, SMTP, Email marketing and Subscribe forms by Sendinblue | 3.1.25未満 |
| プラグイン | XSS | Product Feed PRO for WooCommerce | 11.0.7未満 |
| プラグイン | ACCESS CONTROLS | Protect WP Admin | 3.6.2未満 |
| プラグイン | SQLI | Advanced Custom Fields: Extended | 0.8.8.7未満 |
| プラグイン | XSS | Affiliates Manager | 2.9.0未満 |
| プラグイン | XSS | Mobile Events Manager | 1.4.4未満 |
| プラグイン | XSS | Registrations for the Events Calendar | 2.7.10未満 |
| プラグイン | ACCESS CONTROLS | WP Post Page Clone | 1.2未満 |
| プラグイン | CSRF | WP Extra File Types | 0.5.1未満 |
| プラグイン | XSS | Tutor LMS | 1.9.12未満 |
| プラグイン | NO AUTHORISATION | Ultimate FAQ | 2.1.2未満 |
| プラグイン | XSS | Code Snippets | 2.14.3未満 |
| プラグイン | NO AUTHORISATION | Qubely | 1.7.8未満 |
| プラグイン | XSS | myCred | 2.4未満 |
| プラグイン | XSS | Image Hover Effects Ultimate | 9.7.1未満 |
| プラグイン | XSS | Orders Tracking for WooCommerce | 1.1.10未満 |
| プラグイン | REDIRECT | WebP Converter for Media | 4.0.3未満 |
| プラグイン | XSS | WP User Frontend | 3.5.26未満 |
| プラグイン | SQLI | WP Cookie User Info | 1.0.9未満 |
| プラグイン | XSS | UpdraftPlus | 1.16.69未満 |
| プラグイン | XSS | Registration Magic | 5.0.1.9未満 |
| プラグイン | XSS | WOOF – Products Filter for WooCommerce | 1.2.6.3未満 |
| プラグイン | ACCESS CONTROLS | LabTools | 1.0以下 |
| プラグイン | XSS | Domain Check | 1.0.16以下 |
| プラグイン | XSS | Learning Courses | 5.0未満 |
| プラグイン | CSRF | Error Log Viewer | 1.1.1以下 |