Pocket

WordPress 2022年3月_脆弱性レポート  2022/4/28

2022年3月度のWordPressに関する脆弱性レポートをお知らせします。

3月度全体の脆弱性報告件数としては20件となっており、2022年2月度から1件減少しております。

個所別レポート

個所別の発生件数は、それぞれ本体が0件、プラグインが20件、テーマが0件でした。

本体に関しまして、今月も脆弱性が発生しております。

プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。

プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

トピックス

プラグインに関しましては先月から1件減少し、20件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。

以下、有名プラグインについて詳述します。

一つ目に、アクティブインストール10万以上、総ダウンロード数352万以上の人気プラグイン『Sassy Social Share』にXSSの脆弱性が発生しております。

このプラグインは、掲載されている記事を他のソーシャルメディアに共有できるボタンを設置できるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン3.3.40以上への更新によって塞ぐことができます。

二つ目に、アクティブインストール5万以上、総ダウンロード数290万以上の人気プラグイン『Super Socializer』にUPLOADの脆弱性が発生しております。

このプラグインは、掲載されている記事を他のソーシャルメディアに共有できるボタンを設置できたり、サイトの訪問者がソーシャルメディアを通じて記事についてコメントを書くことができるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン7.13.32以上への更新によって塞ぐことができます。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

  • Post GridにてXSS
  • WordPress File UploadにてTRAVERSAL
  • WP Block and Stop Bad BotsにてSQLi
  • Library File ManagerにてUPLOAD
  • Pz-LinkCardにてXSS

また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで8件、2位がSQLiで5件、3位がUPLOADで2件でした。

トピックス

XSSの発生件数が一番多く、例月通りの傾向です。

脆弱性一覧

2022年3月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2022年3月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
プラグイン TRAVERSAL WordPress File Upload 4.16.3未満
プラグイン NO AUTHORISATION OSMapper 2.1.5以下
プラグイン XSS Pz-LinkCard 2.4.4.4以下
プラグイン SQLI Sync WooCommerce Product feed to Google Shopping 1.2.4以下
プラグイン SQLI Wow Countdowns 3.1.2以下
プラグイン XSS Akismet Privacy Policies 2.0.1以下
プラグイン SQLI WP Block and Stop Bad Bots 6.88未満
プラグイン XSS KingComposer 2.9.6以下
プラグイン UPLOAD Library File Manager 5.2.3未満
プラグイン XSS Dropdown Menu Widget 1.9.7以下
プラグイン XSS GridKit Portfolio 2.1.0未満
プラグイン XSS Post Grid 2.1.16未満
プラグイン XSS Sassy Social Share 3.3.40未満
プラグイン UPLOAD Super Socializer 7.13.30未満
プラグイン XSS Tatsu 3.3.12未満
プラグイン SQLI Books & Papers 0.20210223以下
プラグイン SQLI Advanced Page Visit Counter 5.0.8以下
プラグイン REDIRECT English WordPress Admin 1.5.2未満
プラグイン IDOR DW Question & Answer Pro 1.3.4以下
プラグイン CSRF DW Question & Answer Pro 1.3.4以下