WordPress 2022年6月_脆弱性レポート 2022/7/27
2022年6月度のWordPressに関する脆弱性レポートをお知らせします。
6月度全体の脆弱性報告件数としては107件となっており、2022年5月度から65件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、プラグインが107件、テーマが0件でした。
本体に関しまして、今月は脆弱性が発生しておりませんでした。
プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨いたします。
トピックス
プラグインに関しましては先月から59件減少し、107件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール500万以上、総ダウンロード数1億9532万以上の人気プラグイン『WooCommerce』にINJECTIONの脆弱性が発生しております。
このプラグインは、WordPressでECサイトを構築できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨いたします。
脆弱性はすでにアップデートによって修正済みで、バージョン6.6.0以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール500万以上、総ダウンロード数1億8774万以上の人気プラグイン『Elementor』にXSSの脆弱性が発生しております。
このプラグインは、簡単な操作でWordpressのページを構築することができるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨いたします。
脆弱性はすでにアップデートによって修正済みで、バージョン3.5.6以上への更新によって塞ぐことができます。
その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨いたします。
- Ninja FormsにてOBJECT INJECTION
- WP Maintenance Mode & Coming SoonにてCSRF
- WooCommerce PDF Invoices & Packing SlipsにてXSS
- Popup BuilderにてXSS
- Ultimate MemberにてXSS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで61件、2位がCSRFで29件、3位がUPLOADで2件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2022年6月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨いたします。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨いたします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨いたします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨いたします。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨いたします。
表:2022年6月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | XSS | Modern Events Calendar Lite | 6.3.0未満 |
| プラグイン | CSRF | New User Approve | 2.4未満 |
| プラグイン | CSRF | My Private Site | 3.0.8未満 |
| プラグイン | XSS | Easy SVG Support | 3.3.0未満 |
| プラグイン | XSS | Icegram | 2.1.8未満 |
| プラグイン | CSRF | Social Share Buttons by Supsystic | 2.2.4未満 |
| プラグイン | CSRF | Cimy Header Image Rotator | 6.1.1以下 |
| プラグイン | CSRF | Add Post URL | 2.1.0以下 |
| プラグイン | CSRF | Clean-Contact | 1.6以下 |
| プラグイン | CSRF | Mobile Browser Color Select | 1.0.1以下 |
| プラグイン | XSS | Active Products Tables for WooCommerce | 1.0.5未満 |
| プラグイン | XSS | Mihdan: No External Links | 4.8.0以下 |
| プラグイン | XSS | Flower Delivery by Florist One | 3.5.11以下 |
| プラグイン | XSS | Ultimate WooCommerce CSV Importer | 2.0以下 |
| プラグイン | UPLOAD | HTML2WP | 1.0.0以下 |
| プラグイン | NO AUTHORISATION | HTML2WP | 1.0.0以下 |
| プラグイン | CSRF | HTML2WP | 1.0.0以下 |
| プラグイン | SSRF | WP Ultimate CSV Importer | 6.5.3未満 |
| プラグイン | XSS | Download manager | 3.2.43未満 |
| プラグイン | XSS | Ultimate Member | 2.4.0未満 |
| プラグイン | XSS | Form – Contact Form | 1.2.4以下 |
| プラグイン | XSS | Image Gallery – Grid Gallery | 1.1.5以下 |
| プラグイン | NO AUTHORISATION | XCloner | 4.3.6未満 |
| プラグイン | XSS | miniOrange’s Google Authenticator | 5.5.6未満 |
| プラグイン | XSS | Login using WordPress Users | 1.13.4未満 |
| プラグイン | CSRF | miniOrange Google Authenticator | 1.0.5未満 |
| プラグイン | XSS | Google Authenticator | 1.0.8未満 |
| プラグイン | XSS | Limit Login Attempts | 4.0.72未満 |
| プラグイン | XSS | miniOrange’s Malware Scanner | 4.5.2未満 |
| プラグイン | XSS | WordPress Security | 4.2.1未満 |
| プラグイン | CSRF | Site Offline or Coming Soon | 1.6.6以下 |
| プラグイン | TRAVERSAL | Product Configurator for WooCommerce | 1.2.32未満 |
| プラグイン | XSS | Nested Pages | 3.1.21未満 |
| プラグイン | NO AUTHORISATION | ARMember | 3.4.8未満 |
| プラグイン | XSS | NextCellent Gallery | 1.9.35以下 |
| プラグイン | CSRF | MyCSS | 1.1以下 |
| プラグイン | XSS | Copify | 1.3.0以下 |
| プラグイン | CSRF | API KEY for Google Maps | 1.2.2未満 |
| プラグイン | CSRF | Toolbar To Share | 2.0以下 |
| プラグイン | XSS | Gallery | 2.0.0未満 |
| プラグイン | XSS | WP Contact Slider | 2.4.7未満 |
| プラグイン | XSS | Elementor | 3.5.6未満 |
| プラグイン | XSS | Travel Management | 2.0以下 |
| プラグイン | XSS | WordPress Team Manager | 1.6.9以下 |
| プラグイン | XSS | Custom Popup Builder | 1.3.1以下 |
| プラグイン | XSS | XO Slider | 3.3.3未満 |
| プラグイン | CSRF | Sharebar | 1.4.1以下 |
| プラグイン | CSRF | Pagebar | 2.65以下 |
| プラグイン | UPLOAD | eaSYNC | 1.1.16未満 |
| プラグイン | OBJECT INJECTION | Ninja Forms | 3.6.11未満 |
| プラグイン | XSS | Core Plugin for Kitestudio Themes | 2.3.1未満 |
| プラグイン | CSRF | WP Championship | 9.3未満 |
| プラグイン | XSS | WP Paginate | 2.1.9未満 |
| プラグイン | SQLI | Pricing Deals for WooCommerce | 2.0.2.02以下 |
| プラグイン | XSS | FoxyShop | 4.8.2未満 |
| プラグイン | XSS | Awin Data Feed | 1.6以下 |
| プラグイン | XSS | Awin Data Feed | 1.6以下 |
| プラグイン | CSRF | Rename wp-login.php | 2.6.0以下 |
| プラグイン | CSRF | Comment License | 1.3以下 |
| プラグイン | CSRF | Shortcut Macros | 1.3以下 |
| プラグイン | XSS | WooCommerce – Product Importer | 1.5.2以下 |
| プラグイン | CSRF | Button Widget Smartsoft | 1.0.1以下 |
| プラグイン | NO AUTHORISATION | BuddyPress Group Reviews | 2.8.4未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | GiveWP | 2.21.0未満 |
| プラグイン | XSS | WooCommerce PDF Invoices & Packing Slips | 2.16.0未満 |
| プラグイン | XSS | Bold Page Builder | 4.3.3未満 |
| プラグイン | XSS | WP Event Manager | 3.1.28未満 |
| プラグイン | XSS | Shortcodes and extra features for Phlox theme | 2.9.8未満 |
| プラグイン | CSRF | Admin Management Xtended | 2.4.5未満 |
| プラグイン | XSS | WP Duplicate Page | 1.3未満 |
| プラグイン | XSS | Popup Builder | 4.1.11未満 |
| プラグイン | XSS | WP Opt-in | 1.4.1以下 |
| プラグイン | CSRF | Cache Images | 3.2.1未満 |
| プラグイン | CSRF | WP Maintenance Mode & Coming Soon | 2.4.5未満 |
| プラグイン | INJECTION | WooCommerce | 6.6.0未満 |
| プラグイン | XSS | CDI | 5.1.9未満 |
| プラグイン | XSS | Import CSV Files | 1.0以下 |
| プラグイン | XSS | Brizy Page Builder | 2.4.2未満 |
| プラグイン | XSS | Brizy Page Builder | 2.4.2未満 |
| プラグイン | XSS | Best Contact Management Software | 3.7.3以下 |
| プラグイン | XSS | Very Simple Breadcrumb | 1.0以下 |
| プラグイン | XSS | LinkedIn Company Updates | 1.5.3以下 |
| プラグイン | XSS | Data Tables Generator by Supsystic | 1.10.20未満 |
| プラグイン | XSS | 404s | 3.5.1未満 |
| プラグイン | CSRF | Free Live Chat Support | 1.0.11以下 |
| プラグイン | CSRF | DX Share Selection | 1.5未満 |
| プラグイン | XSS | Download Manager | 3.2.48未満 |
| プラグイン | XSS | Loading Page with Loading Screen | 1.0.83未満 |
| プラグイン | XSS | Advanced Database Cleaner | 3.1.1未満 |
| プラグイン | XSS | Contact Form 7 Captcha | 0.1.2未満 |
| プラグイン | AUTHBYPASS | OAuth Single Sign On | 6.22.6未満 |
| プラグイン | CSRF | Jquery Validation For Contact Form 7 | 5.3未満 |
| プラグイン | XSS | Page Generator Plugin | 1.6.5未満 |
| プラグイン | XSS | Woo Discount Rules | 2.4.2未満 |
| プラグイン | XSS | Accept Stripe Payments | 2.0.64未満 |
| プラグイン | CSRF | Insights from Google PageSpeed | 4.0.7未満 |
| プラグイン | XSS | Simple Post Notes | 1.7.6未満 |
| プラグイン | XSS | Download Manager | 3.2.44未満 |
| プラグイン | XSS | W-DALIL | 2.0以下 |
| プラグイン | XSS | Simple Page Transition | 1.4.1以下 |
| プラグイン | XSS | Request a Quote | 2.3.7以下 |
| プラグイン | CSV INJECTION | Request a Quote | 2.3.7以下 |
| プラグイン | ACCESS CONTROLS | Custom Product Tabs for WooCommerce | 1.7.8未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | SP Project & Document Manager | 4.58未満 |
| プラグイン | CSV INJECTION | Exports and Reports | 0.9.2未満 |
| プラグイン | CSRF | Gallery for Social Photo | 1.0.0.29未満 |
| プラグイン | CSRF | Image Slider | 1.1.123未満 |