Pocket

WordPress 2022年1月_脆弱性レポート  2022/2/28

2022年1月度のWordPressに関する脆弱性レポートをお知らせします。

1月度全体の脆弱性報告件数としては65件となっており、2021年12月度から30件減少しております。

個所別レポート

個所別の発生件数は、それぞれ本体が0件、テーマが0件、プラグインが65件でした。

本体に関しまして、今月は脆弱性が発生しておりませんでした。

テーマに関しましては、今月は脆弱性が発生しておりませんでした。

プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

トピックス

プラグインに関しましては先月から30件減少し、65件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。

以下、有名プラグインについて詳述します。

アクティブインストール80万以上、総ダウンロード数364万以上の人気プラグイン『SVG Support』にXSSの脆弱性が発生しております。

このプラグインは、SVG形式のファイルをWordPressのメディアとしてアップロードできるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン2.4.2以上への更新によって塞ぐことができます。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

  • NextScripts: Social Networks Auto-PosterにてCSRFとXSS
  • Popup BuilderにてLFI
  • WordPress Download ManagerにてSQLi
  • Anti-Malware Security and Brute-Force FirewallにてXSS
  • Use Any FontにてNO AUTHORISATION

また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで32件、2位がCSRFで8件、3位がSQLiで6件でした。

トピックス

XSSの発生件数が一番多く、例月通りの傾向です。

脆弱性一覧

2022年1月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2022年1月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
プラグイン XSS WP Photo Album Plus 8.0.10未満
プラグイン XSS SVG Support 2.3.20未満
プラグイン SENSITIVE DATA DISCLOSURE Document Embedder 1.7.9未満
プラグイン SENSITIVE DATA DISCLOSURE Document Embedder 1.7.5未満
プラグイン SQLI Wicked Folders 2.18.10未満
プラグイン XSS Visual CSS Style Editor 7.5.4未満
プラグイン ACCESS CONTROLS Contact Form 7 Skins 2.5.0以下
プラグイン XSS Asset CleanUp 1.3.8.5未満
プラグイン XSS Asset CleanUp 1.3.8.5未満
プラグイン CSRF NextScripts: Social Networks Auto-Poster 4.3.25未満
プラグイン XSS NextScripts: Social Networks Auto-Poster 4.3.24未満
プラグイン ACCESS CONTROLS Advanced Cron Manager
プラグイン SQLI Futurio Extra 1.6.3未満
プラグイン XSS SupportCandy 2.2.7未満
プラグイン CSRF SupportCandy 2.2.7未満
プラグイン XSS SupportCandy 2.2.7未満
プラグイン CSRF SupportCandy 2.2.7未満
プラグイン ACCESS CONTROLS SupportCandy 2.2.5未満
プラグイン XSS WPLegalPages 2.7.1未満
プラグイン SQLI Rearrange Woocommerce Products 3.0.8未満
プラグイン CSRF IP2Location Country Blocker 2.26.6未満
プラグイン ACCESS CONTROLS IP2Location Country Blocker 2.26.5未満
プラグイン BYPASS IP2Location Country Blocker 2.26.5未満
プラグイン FILE DOWNLOAD RVM – Responsive Vector Maps 6.4.2未満
プラグイン ACCESS CONTROLS Ultimate Product Catalog 5.0.26未満
プラグイン ACCESS CONTROLS Paid Memberships Pro 2.6.7未満
プラグイン SQLI GTranslate 2.9.7未満
プラグイン XSS Cluevo 1.8.1未満
プラグイン XSS Store Toolkit for WooCommerce 2.3.2未満
プラグイン XSS Ivory Search 5.4.1未満
プラグイン FILE DOWNLOAD SEUR Oficial 1.7.2未満
プラグイン XSS Mortgage Calculators WP 1.56未満
プラグイン XSS Remove Footer Credit 1.0.11未満
プラグイン NO AUTHORISATION Ibtana 1.1.4.9未満
プラグイン XSS Newsletter, SMTP, Email marketing and Subscribe forms by Sendinblue 3.1.31未満
プラグイン CSRF PHP Everywhere 2.0.3未満
プラグイン SENSITIVE DATA DISCLOSURE Futurio Extra 1.6.3未満
プラグイン XSS Download Monitor 4.4.7未満
プラグイン XSS WHMCS Bridge 6.3未満
プラグイン XSS Form Store to DB 1.1.1未満
プラグイン NO AUTHORISATION PPOM for WooCommerce 24.0未満
プラグイン REDIRECT Noptin 1.6.5未満
プラグイン XSS Five Star Business Profile and Schema 2.1.7未満
プラグイン XSS FeedWordPress 2022.0123未満
プラグイン XSS Translation Exchange 1.0.14以下
プラグイン XSS The Buffer Button 1.0以下
プラグイン XSS Give 2.17.3未満
プラグイン XSS Give 2.17.3未満
プラグイン SQLI WordPress Download Manager 3.2.34未満
プラグイン XSS Anti-Malware Security and Brute-Force Firewall 4.20.94未満
プラグイン XSS Advanced Database Cleaner 3.0.4未満
プラグイン NO AUTHORISATION Duplicate Page or Post 1.5.1未満
プラグイン LFI Popup Builder 4.0.7未満
プラグイン XSS StatCounter 2.0.7未満
プラグイン XSS WP Responsive Menu 3.1.7.1未満
プラグイン XSS WordPress GDPR & CCPA 1.9.26未満
プラグイン XSS WHMCS Bridge 6.4b未満
プラグイン CSRF WP Google Map 1.8.4未満
プラグイン SQLI GWA AutoResponder 2.3以下
プラグイン CSRF Logo Showcase with Slick Slider 2.0.1未満
プラグイン NO AUTHORISATION Use Any Font 6.2.1未満
プラグイン XSS WP User 7.0未満
プラグイン CSRF Post Snippets 3.1.4未満
プラグイン NO AUTHORISATION WP Visitor Statistics (Real Time Traffic) 5.5未満
プラグイン XSS WPvivid Backup and Migration Plugin 0.9.69未満