WordPress 2022年1月_脆弱性レポート 2022/2/28
2022年1月度のWordPressに関する脆弱性レポートをお知らせします。
1月度全体の脆弱性報告件数としては65件となっており、2021年12月度から30件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが0件、プラグインが65件でした。
本体に関しまして、今月は脆弱性が発生しておりませんでした。
テーマに関しましては、今月は脆弱性が発生しておりませんでした。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
プラグインに関しましては先月から30件減少し、65件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
アクティブインストール80万以上、総ダウンロード数364万以上の人気プラグイン『SVG Support』にXSSの脆弱性が発生しております。
このプラグインは、SVG形式のファイルをWordPressのメディアとしてアップロードできるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン2.4.2以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- NextScripts: Social Networks Auto-PosterにてCSRFとXSS
- Popup BuilderにてLFI
- WordPress Download ManagerにてSQLi
- Anti-Malware Security and Brute-Force FirewallにてXSS
- Use Any FontにてNO AUTHORISATION
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで32件、2位がCSRFで8件、3位がSQLiで6件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2022年1月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2022年1月度脆弱性一覧
発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
プラグイン | XSS | WP Photo Album Plus | 8.0.10未満 |
プラグイン | XSS | SVG Support | 2.3.20未満 |
プラグイン | SENSITIVE DATA DISCLOSURE | Document Embedder | 1.7.9未満 |
プラグイン | SENSITIVE DATA DISCLOSURE | Document Embedder | 1.7.5未満 |
プラグイン | SQLI | Wicked Folders | 2.18.10未満 |
プラグイン | XSS | Visual CSS Style Editor | 7.5.4未満 |
プラグイン | ACCESS CONTROLS | Contact Form 7 Skins | 2.5.0以下 |
プラグイン | XSS | Asset CleanUp | 1.3.8.5未満 |
プラグイン | XSS | Asset CleanUp | 1.3.8.5未満 |
プラグイン | CSRF | NextScripts: Social Networks Auto-Poster | 4.3.25未満 |
プラグイン | XSS | NextScripts: Social Networks Auto-Poster | 4.3.24未満 |
プラグイン | ACCESS CONTROLS | Advanced Cron Manager | |
プラグイン | SQLI | Futurio Extra | 1.6.3未満 |
プラグイン | XSS | SupportCandy | 2.2.7未満 |
プラグイン | CSRF | SupportCandy | 2.2.7未満 |
プラグイン | XSS | SupportCandy | 2.2.7未満 |
プラグイン | CSRF | SupportCandy | 2.2.7未満 |
プラグイン | ACCESS CONTROLS | SupportCandy | 2.2.5未満 |
プラグイン | XSS | WPLegalPages | 2.7.1未満 |
プラグイン | SQLI | Rearrange Woocommerce Products | 3.0.8未満 |
プラグイン | CSRF | IP2Location Country Blocker | 2.26.6未満 |
プラグイン | ACCESS CONTROLS | IP2Location Country Blocker | 2.26.5未満 |
プラグイン | BYPASS | IP2Location Country Blocker | 2.26.5未満 |
プラグイン | FILE DOWNLOAD | RVM – Responsive Vector Maps | 6.4.2未満 |
プラグイン | ACCESS CONTROLS | Ultimate Product Catalog | 5.0.26未満 |
プラグイン | ACCESS CONTROLS | Paid Memberships Pro | 2.6.7未満 |
プラグイン | SQLI | GTranslate | 2.9.7未満 |
プラグイン | XSS | Cluevo | 1.8.1未満 |
プラグイン | XSS | Store Toolkit for WooCommerce | 2.3.2未満 |
プラグイン | XSS | Ivory Search | 5.4.1未満 |
プラグイン | FILE DOWNLOAD | SEUR Oficial | 1.7.2未満 |
プラグイン | XSS | Mortgage Calculators WP | 1.56未満 |
プラグイン | XSS | Remove Footer Credit | 1.0.11未満 |
プラグイン | NO AUTHORISATION | Ibtana | 1.1.4.9未満 |
プラグイン | XSS | Newsletter, SMTP, Email marketing and Subscribe forms by Sendinblue | 3.1.31未満 |
プラグイン | CSRF | PHP Everywhere | 2.0.3未満 |
プラグイン | SENSITIVE DATA DISCLOSURE | Futurio Extra | 1.6.3未満 |
プラグイン | XSS | Download Monitor | 4.4.7未満 |
プラグイン | XSS | WHMCS Bridge | 6.3未満 |
プラグイン | XSS | Form Store to DB | 1.1.1未満 |
プラグイン | NO AUTHORISATION | PPOM for WooCommerce | 24.0未満 |
プラグイン | REDIRECT | Noptin | 1.6.5未満 |
プラグイン | XSS | Five Star Business Profile and Schema | 2.1.7未満 |
プラグイン | XSS | FeedWordPress | 2022.0123未満 |
プラグイン | XSS | Translation Exchange | 1.0.14以下 |
プラグイン | XSS | The Buffer Button | 1.0以下 |
プラグイン | XSS | Give | 2.17.3未満 |
プラグイン | XSS | Give | 2.17.3未満 |
プラグイン | SQLI | WordPress Download Manager | 3.2.34未満 |
プラグイン | XSS | Anti-Malware Security and Brute-Force Firewall | 4.20.94未満 |
プラグイン | XSS | Advanced Database Cleaner | 3.0.4未満 |
プラグイン | NO AUTHORISATION | Duplicate Page or Post | 1.5.1未満 |
プラグイン | LFI | Popup Builder | 4.0.7未満 |
プラグイン | XSS | StatCounter | 2.0.7未満 |
プラグイン | XSS | WP Responsive Menu | 3.1.7.1未満 |
プラグイン | XSS | WordPress GDPR & CCPA | 1.9.26未満 |
プラグイン | XSS | WHMCS Bridge | 6.4b未満 |
プラグイン | CSRF | WP Google Map | 1.8.4未満 |
プラグイン | SQLI | GWA AutoResponder | 2.3以下 |
プラグイン | CSRF | Logo Showcase with Slick Slider | 2.0.1未満 |
プラグイン | NO AUTHORISATION | Use Any Font | 6.2.1未満 |
プラグイン | XSS | WP User | 7.0未満 |
プラグイン | CSRF | Post Snippets | 3.1.4未満 |
プラグイン | NO AUTHORISATION | WP Visitor Statistics (Real Time Traffic) | 5.5未満 |
プラグイン | XSS | WPvivid Backup and Migration Plugin | 0.9.69未満 |