WordPress 2022年4月_脆弱性レポート 2022/5/31
2022年4月度のWordPressに関する脆弱性レポートをお知らせします。
4月度全体の脆弱性報告件数としては114件となっており、2022年3月度から90件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、プラグインが114件、テーマが0件でした。
プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨いたします。
トピックス
プラグインに関しましては先月から90件増加し、114件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール500万以上、総ダウンロード数1億以上の人気プラグイン『Elementor』にUPLOADの脆弱性が発生しております。
このプラグインは、簡単な操作でWordpressのページを構築することができるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨いたします。
脆弱性はすでにアップデートによって修正済みで、バージョン3.6.5以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール400万以上、総ダウンロード数7800万以上の人気プラグイン『All-in-One WP Migration』にTRAVERSALの脆弱性が発生しております。
このプラグインは、WordPressの内容をバックアップ、移行できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨いたします。
脆弱性はすでにアップデートによって修正済みで、バージョン7.61以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨いたします。
- Photo GalleryにてSQLIとXSS
- Popup MakerにてXSS
- HubSpotにてSSRF
- Ultimate MemberにてREDIRECT
- BulletProof SecurityにてXSS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで56件、2位がSQLiで18件、3位がCSRFで16件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2022年4月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨いたします。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨いたします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨いたします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨いたします。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨いたします。
表:2022年4月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | XSS | Page Restriction WordPress | 1.2.7未満 |
| プラグイン | XSS | ULeak Security & Monitoring | 1.2.3以下 |
| プラグイン | XSS | Menubar | 5.8未満 |
| プラグイン | XSS | Amr Users | 4.59.4未満 |
| プラグイン | XSS | Social comments by WpDevArt | 2.5.0未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Mycred | 2.4.4.1未満 |
| プラグイン | XSS | Opensea | 1.0.3未満 |
| プラグイン | XSS | wpDataTables | 2.1.28未満 |
| プラグイン | XSS | LifterLMS PayPal | 1.4.0未満 |
| プラグイン | SQLI | Documentor | 1.5.3以下 |
| プラグイン | XSS | Event List | 0.8.8未満 |
| プラグイン | CSRF | Ad Invalid Click Protector (AICP) | 1.2.7未満 |
| プラグイン | XSS | Content Egg | 5.3.0未満 |
| プラグイン | XSS | Visual Form Builder | 3.0.7未満 |
| プラグイン | BYPASS | SiteGround Security | 1.2.6未満 |
| プラグイン | BYPASS | SiteGround Security | 1.2.6未満 |
| プラグイン | XSS | Plausible Analytics | 1.2.3未満 |
| プラグイン | XSS | Import and export users and customers | 1.19.2.1未満 |
| プラグイン | SQLI | Photo Gallery | 1.6.3未満 |
| プラグイン | XSS | Photo Gallery | 1.6.3未満 |
| プラグイン | NO AUTHORISATION | Sitemap by click5 | 1.0.36未満 |
| プラグイン | SQLI | Multiple Shipping Address Woocommerce | 2.0未満 |
| プラグイン | SQLI | SiteSuperCharger | 5.2.0未満 |
| プラグイン | XSS | Adrotate | 5.8.23未満 |
| プラグイン | XSS | Adrotate | 5.8.23未満 |
| プラグイン | SSRF | HubSpot | 8.8.15未満 |
| プラグイン | UPLOAD | Import WP | 2.4.6未満 |
| プラグイン | CSRF | Visual Form Builder | 3.0.8未満 |
| プラグイン | XSS | Fast Flow | 1.2.11未満 |
| プラグイン | CSRF | eRoom | 1.3.9未満 |
| プラグイン | CSRF | eRoom | 1.3.8未満 |
| プラグイン | CSRF | Yoo Slider | 2.1.0未満 |
| プラグイン | CSRF | Yoo Slider | 2.1.0未満 |
| プラグイン | FILE DOWNLOAD | WPvivid Backup and Migration Plugin | 0.9.71未満 |
| プラグイン | SQLI | Order Listener for WooCommerce | 3.2.2未満 |
| プラグイン | XSS | Popup Maker | 1.16.5未満 |
| プラグイン | XSS | Themify – Post Type Builder Search Addon | 1.4.0未満 |
| プラグイン | XSS | Admin Menu Editor | 1.0.4以下 |
| プラグイン | SQLI | BadgeOS | 3.7.0以下 |
| プラグイン | SQLI | WP Video Gallery | 1.7.1以下 |
| プラグイン | SQLI | SEMA API | 3.64以下 |
| プラグイン | XSS | Easily Generate Rest API Url | 1.0.0以下 |
| プラグイン | XSS | WP Social Buttons | 2.2以下 |
| プラグイン | XSS | IgniteUp | 3.4.1以下 |
| プラグイン | UPLOAD | Elementor 3.6.0-3.6.2 – Subscriber+ Arbitrary File Upload | 3.6.0-3.6.2 |
| プラグイン | XSS | Modern Events Calendar Lite | 6.5.2未満 |
| プラグイン | XSS | KB Support | 1.5.5以下 |
| プラグイン | CSRF | Simple Ajax Chat | 20220216未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Simple Ajax Chat | 20220216未満 |
| プラグイン | CSRF | MicroPayments | 1.9.6未満 |
| プラグイン | SQLI | Personal Dictionary | 1.3.4未満 |
| プラグイン | SQLI | Ubigeo de Peru | 3.6.4未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Popup by Supsystic | 1.10.9未満 |
| プラグイン | XSS | Slide Anything | 2.3.44未満 |
| プラグイン | SQLI | MapSVG | 6.2.20未満 |
| プラグイン | UPLOAD | VikBooking Hotel Booking Engine & PMS | 1.5.4未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | VikBooking Hotel Booking Engine & PMS | 1.5.4未満 |
| プラグイン | XSS | BulletProof Security | 6.1未満 |
| プラグイン | XSS | Bulk Edit and Create User Profiles | 1.5.14未満 |
| プラグイン | SSRF | Fusion Builder | 3.6.2未満 |
| プラグイン | XSS | th23 Social | 1.2.0以下 |
| プラグイン | UPLOAD | Advanced Uploader | 4.2以下 |
| プラグイン | SSRF | External Media without Import | 1.1.2以下 |
| プラグイン | SQLI | Visual Slide Box Builder | 3.2.9以下 |
| プラグイン | XSS | Advanced Image Sitemap | 1.2以下 |
| プラグイン | XSS | BMI BMR Calculator | 1.3以下 |
| プラグイン | XSS | Custom TinyMCE Shortcode Button | 1.1以下 |
| プラグイン | XSS | Country Selector | 1.6.6未満 |
| プラグイン | XSS | Social Stickers | 2.2.9以下 |
| プラグイン | UPLOAD | VikBooking Hotel Booking Engine & PMS | 1.5.8未満 |
| プラグイン | CSRF | VikBooking Hotel Booking Engine & PMS | 1.5.7未満 |
| プラグイン | XSS | VikBooking Hotel Booking Engine & PMS | 1.5.8未満 |
| プラグイン | IDOR | WPQA | 5.2未満 |
| プラグイン | AUTHBYPASS | WPQA | 5.2未満 |
| プラグイン | XSS | WPQA | 5.2未満 |
| プラグイン | CSRF | Rara One Click Demo Import | 1.3.0未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Metform Elementor Contact Form Builder | 2.1.4未満 |
| プラグイン | XSS | Call Now Button | 1.1.2未満 |
| プラグイン | XSS | WP YouTube Live | 1.8.3未満 |
| プラグイン | XSS | WP Subtitle | 3.4.1未満 |
| プラグイン | XSS | WPCargo Track & Trace | 6.9.5未満 |
| プラグイン | XSS | WPCargo Track & Trace | 6.9.5未満 |
| プラグイン | SQLI | ARPrice Lite | 3.6.1未満 |
| プラグイン | XSS | Gmedia Photo Gallery | 1.20.0未満 |
| プラグイン | XSS | WPC Smart Wishlist for WooCommerce | 2.9.9未満 |
| プラグイン | XSS | ScrollReveal.js Effects | 1.2以下 |
| プラグイン | SQLI | 3xSocializer | 0.98.22以下 |
| プラグイン | XSS | Night Mode | 1.4.0未満 |
| プラグイン | NO AUTHORISATION | ShortPixel Adaptive Images | 3.4.0未満 |
| プラグイン | CSRF | WP-Invoice | 4.3.1以下 |
| プラグイン | XSS | Sliderby10Web | 1.2.52未満 |
| プラグイン | XSS | Vertical scroll recent post | 14.0未満 |
| プラグイン | XSS | Turn off all comments | 1.0以下 |
| プラグイン | XSS | Domain Replace | 1.3.8以下 |
| プラグイン | XSS | Donate Extra | 2.02以下 |
| プラグイン | XSS | Gwyn’s Imagemap Selector | 0.3.3以下 |
| プラグイン | SQLI | RSVPMaker | 9.2.6未満 |
| プラグイン | XSS | Psychological tests & quizzes | 0.21.19以下 |
| プラグイン | CSRF | Coru LFMember | 1.0.2以下 |
| プラグイン | SQLI | RSVPMaker | 9.2.7未満 |
| プラグイン | OBJECT INJECTION | Booking Calendar | 9.1.1未満 |
| プラグイン | XSS | Curtain | 1.0.2以下 |
| プラグイン | TRAVERSAL | All-in-One WP Migration | 7.59未満 |
| プラグイン | XSS | Ravpage | 2.16以下 |
| プラグイン | CSRF | Footer Text | 2.0.3以下 |
| プラグイン | SQLI | Hermit | 3.1.6以下 |
| プラグイン | SQLI | Hermit | 3.1.6以下 |
| プラグイン | CSRF | Hermit | 3.1.6以下 |
| プラグイン | CSRF | Hermit | 3.1.6以下 |
| プラグイン | XSS | Countdown & Clock | 2.3.2以下 |
| プラグイン | XSS | Countdown & Clock | 2.3.2以下 |
| プラグイン | BYPASS | Countdown & Clock | 2.3.2以下 |
| プラグイン | REDIRECT | Ultimate Member | 2.3.2未満 |
| プラグイン | CSRF | Subscribe To Comments Reloaded | 220502未満 |