Pocket

WordPress 2022年2月_脆弱性レポート  2022/3/30

2022年2月度のWordPressに関する脆弱性レポートをお知らせします。

2月度全体の脆弱性報告件数としては21件となっており、2022年1月度から44件減少しております。

個所別レポート

個所別の発生件数は、それぞれ本体が0件、テーマが0件、プラグインが21件でした。

本体に関しまして、今月は脆弱性が発生しておりませんでした。

テーマに関しましては、今月は脆弱性が発生しておりませんでした。

プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

トピックス

プラグインに関しましては先月から44件減少し、21件の脆弱性が発見されました。そのうち1件の有名プラグインに脆弱性が発見されております。

以下、有名プラグインについて詳述します。

アクティブインストール400万以上、総ダウンロード数7285万以上の人気プラグイン『All-in-One WP Migration』にUPLOADの脆弱性が発生しております。

このプラグインは、WordPressの内容をバックアップ、移行できるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン7.56以上への更新によって塞ぐことができます。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

  • WordPress Download ManagerにてNO AUTHORISATION
  • SEO Plugin by Squirrly SEOにてXSS
  • Conversios.ioにてSQLi
  • Advanced iFrameにてXSS
  • Persian WoocommerceにてXSS

また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで10件、2位がSQLi、UPLOAD、ACCESS CONTROLSで2件、3位がCSRF、RCE、LFIで1件でした。

トピックス

XSSの発生件数が一番多く、例月通りの傾向です。

脆弱性一覧

2022年2月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2022年2月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
プラグイン CSRF Easy Pricing Tables 3.1.3未満
プラグイン SQLI Conversios.io 4.6.2未満
プラグイン LFI Cost Calculator 1.7以下
プラグイン XSS Cost Calculator 1.6未満
プラグイン XSS Advanced iFrame 2022未満
プラグイン NO AUTHORISATION WordPress Download Manager 3.2.25未満
プラグイン XSS Custom Content Shortcode 4.0.2未満
プラグイン ACCESS CONTROLS Custom Content Shortcode 4.0.2未満
プラグイン INCORRECT AUTHORISATION Custom Content Shortcode 4.0.1未満
プラグイン XSS Multisite Content Copier/Updater 2.1.0未満
プラグイン XSS Multisite User Sync/Unsync 2.1.2未満
プラグイン UPLOAD All-in-One WP Migration 7.41未満
プラグイン SQLI Fancy Product Designer 4.7.5未満
プラグイン XSS WP Event Manager 3.1.23未満
プラグイン XSS WordPress File Upload 4.16.3未満
プラグイン UPLOAD WordPress File Upload 4.16.3未満
プラグイン XSS Persian Woocommerce 5.8.0以下
プラグイン RCE WPCargo 6.9.0未満
プラグイン XSS Patreon WordPress 1.8.2未満
プラグイン ACCESS CONTROLS Advanced Contact form 7 DB 1.8.7未満
プラグイン XSS SEO Plugin by Squirrly SEO 11.1.12未満