WordPress 2022年7月_脆弱性レポート 2022/8/31
2022年7月度のWordPressに関する脆弱性レポートをお知らせします。
7月度全体の脆弱性報告件数としては100件となっており、2022年6月度から7件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、プラグインが97件、テーマが3件でした。
本体に関しまして、今月は脆弱性が発生しておりませんでした。
プラグインに関しましては、今月も脆弱性が発生しております。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨いたします。
トピックス
プラグインに関しましては先月から10件減少し、97件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されております。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール4万以上、総ダウンロード数463万以上の人気プラグイン『Shareaholic』にSENSITIVE DATA DISCLOSUREの脆弱性が発生しております。
このプラグインは、SNSへ記事をシェアできるようにボタンを設置できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨いたします。
脆弱性はすでにアップデートによって修正済みで、バージョン9.7.6以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール10万以上、総ダウンロード数411万以上の人気プラグイン『GiveWP』にDOS、SQLI、UPLOADおよびXSSの脆弱性が発生しております。
このプラグインは、サイトにてクラウドファンディングや寄付を募集する際の入力フォームなど、豊富な機能を使ってページを作成することができるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨いたします。
脆弱性はすでにアップデートによって修正済みで、バージョン2.21.0以上への更新によって塞ぐことができます。
その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨いたします。
- WP All ImportにてRCE
- Feed Them SocialにてOBJECT INJECTIONとXSS
- Header Footer Code ManagerにてXSS
- UnysonにてXSS
- Featured Image from URLにてXSS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨いたします。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで52件、2位がCSRFで10件、3位がSQLiで6件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2022年7月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨いたします。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨いたします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨いたします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨いたします。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨いたします。
表:2022年7月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| テーマ | ACCESS CONTROLS | Discy | 5.0未満 |
| テーマ | XSS | Inspiro Pro | 7.2.3未満 |
| テーマ | UPLOAD | GREYD.SUITE | 1.2.7未満 |
| プラグイン | RCE | WP All Import | 3.6.8未満 |
| プラグイン | XSS | Yellow Yard Searchbar | 2.7.27以下 |
| プラグイン | XSS | Header Footer Code Manager | 1.1.24未満 |
| プラグイン | XSS | Allow SVG Files | 1.1以下 |
| プラグイン | CSRF | Name Directory | 1.25.4未満 |
| プラグイン | XSS | Name Directory | 1.25.3未満 |
| プラグイン | XSS | Popup Anything | 2.1.7未満 |
| プラグイン | XSS | WP Video Lightbox | 1.9.5未満 |
| プラグイン | XSS | Unyson | 2.7.27未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Shareaholic | 9.7.6未満 |
| プラグイン | XSS | Login with phone number | 1.3.7以下 |
| プラグイン | XSS | WordPress Popup | 1.9.3.8以下 |
| プラグイン | XSS | Advanced WordPress Reset | 1.6未満 |
| プラグイン | XSS | Invitation Based Registrations | 2.2.84以下 |
| プラグイン | CSRF | AnyMind Widget | 1.1以下 |
| プラグイン | CSRF | FreeMind WP Browser | 1.2以下 |
| プラグイン | CSRF | Visualizer: Tables and Charts Manager for WordPress | 3.7.10未満 |
| プラグイン | PRIVESC | Simple Membership | 4.1.3未満 |
| プラグイン | PRIVESC | Simple Membership | 4.1.3未満 |
| プラグイン | XSS | Flexi Quote Rotator | 0.9.4以下 |
| プラグイン | CSRF | Progressive License | 1.1.0以下 |
| プラグイン | XSS | Microsoft Advertising Universal Event Tracking | 1.0.4未満 |
| プラグイン | XSS | Copyright Proof | 4.16以下 |
| プラグイン | XSS | Team | 1.2.6以下 |
| プラグイン | CSRF | Counter Box | 1.2.1未満 |
| プラグイン | XSS | Event Timeline | 1.1.5以下 |
| プラグイン | FILE DOWNLOAD | Project Source Code Download | 1.0.0以下 |
| プラグイン | BYPASS | YOP Poll | 6.4.3未満 |
| プラグイン | SQLI | Youzify | 1.2.0未満 |
| プラグイン | LFI | CAPTCHA 4WP | 7.1.0未満 |
| プラグイン | NO AUTHORISATION | YaySMTP | 2.2.1未満 |
| プラグイン | NO AUTHORISATION | YaySMTP | 2.2.1未満 |
| プラグイン | XSS | Featured Image from URL | 4.0.1未満 |
| プラグイン | XSS | Featured Image from URL | 4.0.0未満 |
| プラグイン | DOS | GiveWP | 2.21.3未満 |
| プラグイン | XSS | GiveWP | 2.21.3未満 |
| プラグイン | FILE DOWNLOAD | WSM Downloader | 1.4.0以下 |
| プラグイン | BYPASS | WSM Downloader | 1.4.0以下 |
| プラグイン | UPLOAD | User Private Files | 1.1.3未満 |
| プラグイン | XSS | weForms | 1.6.14未満 |
| プラグイン | UPLOAD | GiveWP | 2.21.0未満 |
| プラグイン | SQLI | GiveWP | 2.21.0未満 |
| プラグイン | XSS | WP Comments Fields | 4.1未満 |
| プラグイン | XSS | Slide Anything | 2.3.47未満 |
| プラグイン | SQLI | Website File Changes Monitor | 1.8.3未満 |
| プラグイン | XSS | Thinkific Uploader | 1.0.0以下 |
| プラグイン | XSS | YaySMTP | 2.2.2未満 |
| プラグイン | XSS | mTouch Quiz | 3.1.3以下 |
| プラグイン | XSS | Auto More Tag | 4.0.0以下 |
| プラグイン | XSS | Rough Chart | 1.0.0以下 |
| プラグイン | UPLOAD | Directorist – Business Directory Plugin | 7.2.3未満 |
| プラグイン | XSS | Crowdsignal Polls & Ratings | 3.0.8未満 |
| プラグイン | XSS | YaySMTP | 2.2.1未満 |
| プラグイン | XSS | Better Tag Cloud | 0.99.5以下 |
| プラグイン | XSS | DW Promobar | 1.0.4以下 |
| プラグイン | XSS | Google Maps Anywhere | 1.2.6.3以下 |
| プラグイン | XSS | WP DS Blog Map | 3.1.3以下 |
| プラグイン | CSRF | Easy Username Updater | 1.0.5未満 |
| プラグイン | SQLI | WPDating | 7.1.9以下 |
| プラグイン | OBJECT INJECTION | Feed Them Social | 2.9.8.6未満 |
| プラグイン | NO AUTHORISATION | MultiSafepay | 4.16.0未満 |
| プラグイン | XSS | WP OAuth2 Server | 1.0.1以下 |
| プラグイン | XSS | Elementor Contact Form DB | 1.8.0未満 |
| プラグイン | XSS | Easy Student Results | 2.2.8以下 |
| プラグイン | NO AUTHORISATION | Easy Student Results | 2.2.8以下 |
| プラグイン | CSRF | E Unlocked – Student Result | 1.0.4以下 |
| プラグイン | XSS | WP-UserOnline | 2.88.0未満 |
| プラグイン | XSS | Testimonials | 3.0.1以下 |
| プラグイン | XSS | Duplicate Page and Post Plugin | 2.7以下 |
| プラグイン | XSS | Digital Publications by Supsystic | 1.7.4未満 |
| プラグイン | COMMAND INJECTION | VR Calendar | 2.2.2以下 |
| プラグイン | CSRF | Stockists Manager for Woocommerce | 1.0.2.1以下 |
| プラグイン | XSS | Simple Banner | 2.12.0未満 |
| プラグイン | SQLI | Homepage Product Organizer for WooCommerce | 1.1以下 |
| プラグイン | IDOR | SearchWP Live Ajax Search | 1.6.2未満 |
| プラグイン | RCE | WP-DBManager | 2.80.8未満 |
| プラグイン | NO AUTHORISATION | Transposh WordPress Translation | 1.0.8以下 |
| プラグイン | NO AUTHORISATION | Transposh WordPress Translation | 1.0.8以下 |
| プラグイン | INCORRECT AUTHORISATION | Flipbox | 2.6.1未満 |
| プラグイン | XSS | Feed Them Social | 3.0.1未満 |
| プラグイン | XSS | Feed Them Social | 3.0.1未満 |
| プラグイン | XSS | Simple Banner | 2.12.0未満 |
| プラグイン | SQLI | Transposh WordPress Translation | 1.0.8以下 |
| プラグイン | NO AUTHORISATION | Transposh WordPress Translation | 1.0.8以下 |
| プラグイン | XSS | Rezgo Online Booking | 4.1.8未満 |
| プラグイン | NO AUTHORISATION | Automations By Autonami | 2.1.2未満 |
| プラグイン | CSRF | WP Coder | 2.5.3未満 |
| プラグイン | NO AUTHORISATION | Product Slider for WooCommerce | 2.5.7未満 |
| プラグイン | XSS | Social Chat | 6.0.5未満 |
| プラグイン | XSS | Coming Soon – Under Construction | 1.1.9以下 |
| プラグイン | NO AUTHORISATION | Directorist | 7.3.0未満 |
| プラグイン | ACCESS CONTROLS | WPGraphQL WooCommerce | 0.11.0以下 |
| プラグイン | TRAVERSAL | WordPress Team Members Showcase | 4.1.2未満 |
| プラグイン | XSS | BxSlider WP | 2.0.0以下 |
| プラグイン | XSS | GS Testimonial Slider | 1.9.7未満 |
| プラグイン | XSS | Floating Div | 3.0以下 |
| プラグイン | XSS | Simple SEO | 1.7.92未満 |