WordPress 2022年2月_脆弱性レポート 2022/3/30
2022年2月度のWordPressに関する脆弱性レポートをお知らせします。
2月度全体の脆弱性報告件数としては21件となっており、2022年1月度から44件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが0件、プラグインが21件でした。
本体に関しまして、今月は脆弱性が発生しておりませんでした。
テーマに関しましては、今月は脆弱性が発生しておりませんでした。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
プラグインに関しましては先月から44件減少し、21件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
アクティブインストール400万以上、総ダウンロード数7285万以上の人気プラグイン『All-in-One WP Migration』にUPLOADの脆弱性が発生しております。
このプラグインは、WordPressの内容をバックアップ、移行できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン7.56以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- WordPress Download ManagerにてNO AUTHORISATION
- SEO Plugin by Squirrly SEOにてXSS
- Conversios.ioにてSQLi
- Advanced iFrameにてXSS
- Persian WoocommerceにてXSS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで10件、2位がSQLi、UPLOAD、ACCESS CONTROLSで2件、3位がCSRF、RCE、LFIで1件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2022年2月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2022年2月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | CSRF | Easy Pricing Tables | 3.1.3未満 |
| プラグイン | SQLI | Conversios.io | 4.6.2未満 |
| プラグイン | LFI | Cost Calculator | 1.7以下 |
| プラグイン | XSS | Cost Calculator | 1.6未満 |
| プラグイン | XSS | Advanced iFrame | 2022未満 |
| プラグイン | NO AUTHORISATION | WordPress Download Manager | 3.2.25未満 |
| プラグイン | XSS | Custom Content Shortcode | 4.0.2未満 |
| プラグイン | ACCESS CONTROLS | Custom Content Shortcode | 4.0.2未満 |
| プラグイン | INCORRECT AUTHORISATION | Custom Content Shortcode | 4.0.1未満 |
| プラグイン | XSS | Multisite Content Copier/Updater | 2.1.0未満 |
| プラグイン | XSS | Multisite User Sync/Unsync | 2.1.2未満 |
| プラグイン | UPLOAD | All-in-One WP Migration | 7.41未満 |
| プラグイン | SQLI | Fancy Product Designer | 4.7.5未満 |
| プラグイン | XSS | WP Event Manager | 3.1.23未満 |
| プラグイン | XSS | WordPress File Upload | 4.16.3未満 |
| プラグイン | UPLOAD | WordPress File Upload | 4.16.3未満 |
| プラグイン | XSS | Persian Woocommerce | 5.8.0以下 |
| プラグイン | RCE | WPCargo | 6.9.0未満 |
| プラグイン | XSS | Patreon WordPress | 1.8.2未満 |
| プラグイン | ACCESS CONTROLS | Advanced Contact form 7 DB | 1.8.7未満 |
| プラグイン | XSS | SEO Plugin by Squirrly SEO | 11.1.12未満 |