WordPress 2022年5月_脆弱性レポート 2022/6/30
2022年5月度のWordPressに関する脆弱性レポートをお知らせします。
5月度全体の脆弱性報告件数としては172件となっており、2022年4月度から58件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、プラグインが166件、テーマが6件でした。
本体に関しまして、今月は脆弱性が発生しておりません。
プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨いたします。
トピックス
プラグインに関しましては先月から52件増加し、166件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール100万以上、総ダウンロード数3833万以上の人気プラグイン『Smush』にXSSの脆弱性が発生しております。
このプラグインは、サイトに掲載する画像ファイルを圧縮して、サイト訪問者がより快適にサイトを閲覧できるように最適化してくれるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨いたします。
脆弱性はすでにアップデートによって修正済みで、バージョン3.9.9以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール40万以上、総ダウンロード数1781万以上の人気プラグイン『Newsletter』にXSSの脆弱性が発生しております。
このプラグインは、サイトを利用している人に向けてメールを作成、送信できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨いたします。
脆弱性はすでにアップデートによって修正済みで、バージョン7.61以上への更新によって塞ぐことができます。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨いたします。
- Photo GalleryにてXSS
- WP StatisticsにてXSS
- GTM4WPにてXSS
- Google Tag Manager for WordPressにてXSS
- Code SnippetsにてXSS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで69件、2位がCSRFで56件、3位がSQLiで19件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2022年5月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨いたします。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨いたします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨いたします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨いたします。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨いたします。
表:2022年5月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| テーマ | CSRF | Discy | 5.2未満 |
| テーマ | XSS | Ask Me | 6.8.2未満 |
| テーマ | CSRF | Ask Me | 6.8.2未満 |
| テーマ | ACCESS CONTROLS | Jupiter & JupiterX | 6.10.2未満 & 2.0.7未満 |
| テーマ | ACCESS CONTROLS | Jupiter | 6.10.2未満 |
| プラグイン | XSS | Google XML Sitemap Generator | 2.0.4未満 |
| プラグイン | SQLI | Nirweb support | 2.8.2未満 |
| プラグイン | SQLI | WP Contacts Manager | 2.2.4以下 |
| プラグイン | XSS | Tabs Responsive | 2.2.8未満 |
| プラグイン | XSS | WP Meta SEO | 4.4.7未満 |
| プラグイン | XSS | Check & Log email | 1.0.6未満 |
| プラグイン | NO AUTHORISATION | Breeze | 2.0.3未満 |
| プラグイン | SQLI | StaffList | 3.1.5未満 |
| プラグイン | XSS | Smush | 3.9.9未満 |
| プラグイン | XSS | Enable SVG | 1.4.0未満 |
| プラグイン | XSS | VikBooking | 1.5.9未満 |
| プラグイン | NO AUTHORISATION | Content Mask | 1.8.4.1未満 |
| プラグイン | XSS | WP JS | 2.0.6以下 |
| プラグイン | XSS | Poll Maker | 4.0.2未満 |
| プラグイン | CSRF | Code Snippets Extended | 1.4.7以下 |
| プラグイン | XSS | WP Slider | 1.4.5以下 |
| プラグイン | CSRF | Disable Right Click For WP | 1.1.6以下 |
| プラグイン | XSS | Slideshow, Image Slider by 2J | 1.3.54以下 |
| プラグイン | XSS | Checkout Files Upload for WooCommerce | 2.1.3未満 |
| プラグイン | XSS | Image Hover Effects Ultimate | 9.7.2未満 |
| プラグイン | XSS | WP 2FA | 2.2.1未満 |
| プラグイン | XSS | wpDataTables | 2.1.28未満 |
| プラグイン | CSRF | Remove CPT Base | 5.9未満 |
| プラグイン | CSRF | PNG to JPG | 4.1未満 |
| プラグイン | XSS | External Links in New Window / New Tab | 1.43未満 |
| プラグイン | XSS | Form Maker By 10Web | 1.14.12未満 |
| プラグイン | XSS | Team Members | 5.1.1未満 |
| プラグイン | CROSS FRAME SCRIPTING | External Links in New Window / New Tab | 1.43未満 |
| プラグイン | CSRF | JivoChat | 1.3.5.4未満 |
| プラグイン | INCORRECT AUTHORISATION | Change wp-admin Login | 1.1.0未満 |
| プラグイン | XSS | User Meta | 2.4.3未満 |
| プラグイン | CSRF | Bulk Page Creator | 1.1.4未満 |
| プラグイン | XSS | Birthdays Widget | 1.7.18以下 |
| プラグイン | XSS | Call&Book Mobile Bar | 1.2.2以下 |
| プラグイン | XSS | HPB Dashboard | 1.3.1以下 |
| プラグイン | XSS | Amazon Link | 3.2.10以下 |
| プラグイン | XSS | Simple Real Estate Pack | 1.4.8以下 |
| プラグイン | XSS | IMDB info box | 2.0以下 |
| プラグイン | XSS | BannerMan | 0.2.4以下 |
| プラグイン | XSS | Slideshow | 2.3.1以下 |
| プラグイン | XSS | No Future Posts | 1.4以下 |
| プラグイン | SQLI | amtyThumb | 4.2.0以下 |
| プラグイン | SQLI | Cube Slider | 1.2以下 |
| プラグイン | SQLI | Five Minute Webshop | 1.3.2以下 |
| プラグイン | SQLI | Logo Slider | 1.4.8以下 |
| プラグイン | SQLI | Note Press | 0.1.10以下 |
| プラグイン | SQLI | CP Image Store with Slideshow | 1.0.68未満 |
| プラグイン | SQLI | Realty Workstation | 1.0.9以下 |
| プラグイン | XSS | Easy FAQ with Expanding Text | 3.2.8.3.1以下 |
| プラグイン | XSS | Quotes llama | 0.7以下 |
| プラグイン | XSS | WP Statistics | 13.2.2未満 |
| プラグイン | XSS | WPQA | 5.4未満 |
| プラグイン | CSRF | Database Backup for WordPress | 2.5.2未満 |
| プラグイン | SQLI | WP Fundraising Donation and Crowdfunding Platform | 1.4.2以下 |
| プラグイン | XSS | WooCommerce Green Wallet Gateway | 1.0.2未満 |
| プラグイン | SQLI | Five Minute Webshop | 1.3.2以下 |
| プラグイン | XSS | WordPress Forms by Pie Forms | 1.4.9.4未満 |
| プラグイン | CSRF | WP Simple Adsense Insertion | 2.1未満 |
| プラグイン | NO AUTHORISATION | Files Download Delay | 1.0.7未満 |
| プラグイン | XSS | Donations | 1.8以下 |
| プラグイン | CSRF | LiveSync for WordPress | 1.0以下 |
| プラグイン | CSRF | Throws SPAM Away | 3.3.1未満 |
| プラグイン | XSS | FiboSearch | 1.18.0未満 |
| プラグイン | XSS | Photo Gallery | 1.6.4未満 |
| プラグイン | XSS | Video Slider – Slider Carousel | 1.4.8未満 |
| プラグイン | TRAVERSAL | User Meta | 2.4.4未満 |
| プラグイン | XSS | FormCraft Basic | 1.2.6未満 |
| プラグイン | ACCESS CONTROLS | WPQA | 5.5未満 |
| プラグイン | XSS | WP Born Babies | 1.0以下 |
| プラグイン | LFI | Counter Box | 1.2未満 |
| プラグイン | LFI | Herd Effects | 5.2.1未満 |
| プラグイン | LFI | Hover Effects | 2.1.1未満 |
| プラグイン | BYPASS | iQ Block Country | 1.2.13以下 |
| プラグイン | XSS | Advanced Admin Search | 1.1.2以下 |
| プラグイン | SQLI | Bestbooks | 2.6.3以下 |
| プラグイン | CSRF | Useful Banner Manager | 1.6.1以下 |
| プラグイン | XSS | Google Places Review | 2.0.0未満 |
| プラグイン | CSRF | Hot Linked Image Cacher | 1.16以下 |
| プラグイン | XSS | WP Athletics | 1.1.7以下 |
| プラグイン | CSRF | Code Snippets Extended | 1.4.7以下 |
| プラグイン | LFI | Popup Box | 2.2未満 |
| プラグイン | XSS | Opal Hotel Room Booking | 1.2.7以下 |
| プラグイン | RCE | WP SVG Icons | 3.2.3以下 |
| プラグイン | RCE | Member Hero | 1.0.9以下 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Log WP_Mail | 0.1以下 |
| プラグイン | CSV INJECTION | WP-CRM | 1.2.1以下 |
| プラグイン | CSRF | Webriti SMTP Mail | 1.0以下 |
| プラグイン | CSRF | Latest Tweets Widget | 1.1.4以下 |
| プラグイン | XSS | Carousel CK | 1.1.0以下 |
| プラグイン | XSS | Slideshow CK | 1.4.10未満 |
| プラグイン | CSRF | HC Custom WP-Admin URL | 1.4以下 |
| プラグイン | BYPASS | HC Custom WP-Admin URL | 1.4以下 |
| プラグイン | CSRF | Email Users | 4.8.8以下 |
| プラグイン | CSRF | OnePress Social Locker | 5.6.2以下 |
| プラグイン | RCE | The School Management | 9.9.7未満 |
| プラグイン | ACCESS CONTROLS | Jupiter & JupiterX Core | 6.10.2未満 & 2.0.8未満 |
| プラグイン | ACCESS CONTROLS | JupiterX & JupiterX Core | 2.0.7未満 & 2.0.7未満 |
| プラグイン | ACCESS CONTROLS | JupiterX Core | 2.0.7未満 |
| プラグイン | XSS | MailerLite | 1.5.4未満 |
| プラグイン | XSS | Themify – WooCommerce Product Filter | 1.3.8未満 |
| プラグイン | XSS | Code Snippets | 2.14.4未満 |
| プラグイン | XSS | Google Tag Manager for WordPress | 1.15.1未満 |
| プラグイン | SQLI | Export any WordPress data to XML/CSV | 1.3.5未満 |
| プラグイン | XSS | WP Admin Style | 0.1.2以下 |
| プラグイン | CSRF | postTabs | 2.10.6以下 |
| プラグイン | CSRF | LaTeX for WordPress | 3.4.10以下 |
| プラグイン | CSRF | Auto Delete Posts | 1.3.0以下 |
| プラグイン | CSRF | Private Files | 0.40以下 |
| プラグイン | CSRF | Quick Subscribe | 1.7.1以下 |
| プラグイン | SQLI | KiviCare | 2.3.9未満 |
| プラグイン | XSS | Newsletter | 7.4.5未満 |
| プラグイン | CSRF | RB Internal Links | 2.0.16以下 |
| プラグイン | CSRF | New User Email Set Up | 0.5.2以下 |
| プラグイン | CSRF | Peter’s Collaboration E-mails | 2.2.0以下 |
| プラグイン | CSRF | One Click Plugin Updater | 2.4.14以下 |
| プラグイン | CSRF | Change Uploaded File Permissions | 4.0.0以下 |
| プラグイン | CSRF | Genki Pre-Publish Reminder | 1.4.1以下 |
| プラグイン | CSRF | Sideblog | 6.0以下 |
| プラグイン | XSS | Simple Membership | 4.1.1未満 |
| プラグイン | CSRF | WP-chgFontSize | 1.8以下 |
| プラグイン | CSRF | Static Page eXtended | 2.1以下 |
| プラグイン | XSS | Appointment Hour Booking | 1.3.56未満 |
| プラグイン | NO AUTHORISATION | Like Button Rating | 2.6.45未満 |
| プラグイン | NO AUTHORISATION | Filr – Secure Document Library | 1.2.2.1未満 |
| プラグイン | XSS | Keep Backup Daily | 2.0.3未満 |
| プラグイン | XSS | Zephyr Project Manager | 3.2.41未満 |
| プラグイン | XSS | Sticky Popup | 1.2以下 |
| プラグイン | CSRF | Core Control | 1.2.1以下 |
| プラグイン | XSS | WP Statistic | 13.2.2未満 |
| プラグイン | XSS | Custom Share Buttons with Floating Sidebar | 4.2未満 |
| プラグイン | CSRF | Seamless Donations | 5.1.9未満 |
| プラグイン | XSS | Post Grid, Slider & Carousel Ultimate | 1.5.0未満 |
| プラグイン | CSRF | Mail Subscribe List | 2.1.4未満 |
| プラグイン | XSS | underConstruction | 1.21未満 |
| プラグイン | CSRF | underConstruction | 1.20未満 |
| プラグイン | XSS | Print, PDF, Email by PrintFriendly | 5.2.3未満 |
| プラグイン | SQLI | Better Find and Replace | 1.3.6未満 |
| プラグイン | CSRF | WP-Email | 2.69.0未満 |
| プラグイン | UPLOAD | Allow SVG Files | 1.1未満 |
| プラグイン | BYPASS | WP-Email | 2.69.0未満 |
| プラグイン | CSRF | Multi-page Toolkit | 2.6以下 |
| プラグイン | CSRF | Cross-Linker | 3.0.1.9以下 |
| プラグイン | CSRF | Inline Google Maps | 5.11以下 |
| プラグイン | CSRF | PDF24 Article To PDF | 4.2.2以下 |
| プラグイン | CSRF | PDF24 Articles To PDF | 4.2.2以下 |
| プラグイン | CSRF | Amazon Einzeltitellinks | 1.3.3以下 |
| プラグイン | CSRF | WPlite | 1.3.1以下 |
| プラグイン | CSRF | CaPa Protect | 0.5.8.2以下 |
| プラグイン | SQLI | Events Made Easy | 2.2.81未満 |
| プラグイン | XSS | Newsletter | 7.4.6未満 |
| プラグイン | XSS | Coming Soon and Maintenance by Colorlib | 1.0.99未満 |
| プラグイン | XSS | WP Zillow Review Slider | 2.4未満 |
| プラグイン | BYPASS | Very Simple Contact Form | 11.6未満 |
| プラグイン | CSRF | MailPress | 7.2.1以下 |
| プラグイン | CSRF | WP Sentry | 1.0以下 |
| プラグイン | CSRF | OpenBook Book Data | 3.5.2以下 |
| プラグイン | CSRF | WP Post Styling | 1.3.1未満 |
| プラグイン | CSRF | Tiny Contact Form | 0.7以下 |
| プラグイン | CSRF | Rotating Posts | 1.11以下 |
| プラグイン | XSS | Easy Pricing Tables | 3.2.1未満 |
| プラグイン | XSS | GTM4WP | 1.15.2未満 |
| プラグイン | CSRF | WPMK Ajax Finder | 1.0.1以下 |