Pocket

WordPress 2022年8月_脆弱性レポート  2022/9/30

2022年8月度のWordPressに関する脆弱性レポートをお知らせします。

8月度全体の脆弱性報告件数としては137件であり、2022年7月度から37件増加しています。

個所別レポート

個所別の発生件数は、それぞれ本体が3件、プラグインが133件、テーマが1件でした。

本体に関しまして、今月は脆弱性が発生しています。

プラグインに関しましては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。

プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

また、テーマに関しまして今月も脆弱性が発生しています。

トピックス

プラグインに関しましては先月から36件増加し、133件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。

以下、有名プラグインについて詳述します。

一つ目に、アクティブインストール500万以上、総ダウンロード数8545万以上の人気プラグイン『All-in-One WP Migration』にXSSの脆弱性が発生しています。

このプラグインは、WordPressの内容をバックアップ、移行できるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン7.65以上への更新によって塞ぐことができます。

二つ目に、アクティブインストール100万以上、総ダウンロード数4212万以上の人気プラグイン『Rank Math SEO』にSSRFの脆弱性が発生しています。

このプラグインは、WordPressでSEOの最適化のための設定ができるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン1.0.98.2以上への更新によって塞ぐことができます。

その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

  • DuplicatorにてACCESS CONTROLSとSENSITIVE DATA DISCLOSURE
  • AutoptimizeにてXSS
  • Advanced Custom FieldsにてUPLOAD
  • MailChimp for WoocommerceにてUPLOADとSSRF

また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで56件、2位がCSRFで17件、3位がSQLiで9件でした。

トピックス

XSSの発生件数が一番多く、例月通りの傾向です。

脆弱性一覧

2022年8月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表:2022年8月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
本体 XSS WP 6.0.2未満
本体 XSS WP 6.0.2未満
本体 SQLI WP 6.0.2未満
テーマ CSRF Ask Me 6.8.4未満
プラグイン XSS Student Result or Employee Database 1.7.5未満
プラグイン FILE Lana Downloads Manager 1.8.0未満
プラグイン XSS WP Sticky Button 1.4.1未満
プラグイン XSS LinkWorth Plugin 3.3.4未満
プラグイン CSRF Yotpo Reviews for WooCommerce 2.0.4以下
プラグイン BYPASS Download Manager 3.2.50未満
プラグイン SENSITIVE Simple Job Board 2.10.0未満
プラグイン SENSITIVE Ninja Job Board 1.3.3未満
プラグイン IDOR WPQA 5.7未満
プラグイン NO WP Edit Menu 1.5.0未満
プラグイン CSRF WP Edit Menu 1.5.0以下
プラグイン XSS WP phpMyAdmin 2.0.4未満
プラグイン TAB Auto-hyperlink URLs 5.4.1以下
プラグイン XSS Enable SVG, WebP & ICO Upload 1.0.1以下
プラグイン XSS Enable SVG, WebP & ICO Upload 1.0.1以下
プラグイン ACCESS Duplicator 1.4.7未満
プラグイン SENSITIVE Duplicator 4.7.1未満
プラグイン SQLI Better Search and Replace 1.4.1未満
プラグイン UPLOAD Advanced Custom Fields 5.0-5.12.2
プラグイン ACCESS Affiliate For WooCommerce 4.8.0未満
プラグイン CSRF MailerLite – Signup forms (official) 1.5.7未満
プラグイン XSS Download Manager 3.2.49未満
プラグイン CSRF Download Manager 3.2.49未満
プラグイン SQLI NEX-Forms 7.9.7未満
プラグイン SQLI Fluent Support 1.5.8未満
プラグイン CSRF uContext for Clickbank 3.9.1以下
プラグイン CSRF uContext for Amazon 3.9.1以下
プラグイン CSRF Link Optimizer Lite 1.4.5以下
プラグイン CSRF Banner Cycler 1.4以下
プラグイン IDOR Affiliate For WooCommerce 4.8.0未満
プラグイン CSRF Download Manager 3.2.49未満
プラグイン CSRF MaxButtons 9.3未満
プラグイン SSRF MailChimp for Woocommerce 2.7.1未満
プラグイン SSRF MailChimp for Woocommerce 2.7.2未満
プラグイン LFI WPide 3.0未満
プラグイン XSS WooCommerce PDF Invoices & Packing Slips 3.0.1未満
プラグイン XSS Anti-Malware Security and Brute-Force Firewall 4.21.83未満
プラグイン FILE Download Manager 3.2.51未満
プラグイン SENSITIVE Sensei LMS 4.5.0未満
プラグイン IDOR Sensei LMS 4.5.2未満
プラグイン CSRF Ecwid Ecommerce Shopping Cart 6.10.24未満
プラグイン NO ActiveDEMAND plugin 0.2.27以下
プラグイン XSS WP Hide & Security Enhancer 1.8未満
プラグイン NO Simply Schedule Appointments 5.7.7未満
プラグイン XSS Simply Schedule Appointments 5.7.7未満
プラグイン BYPASS Stop Spam Comments 2.1.2以下
プラグイン SQLI Leaflet Maps Marker 3.12.5未満
プラグイン FILE Export All URLs 4.4未満
プラグイン OBJECT String Locator 2.6.0未満
プラグイン SQLI JoomSport 5.2.6未満
プラグイン AUTHBYPASS Simple Single Sign On 4.1.0以下
プラグイン TRAVERSAL WPide 3.0未満
プラグイン SQLI Contest Gallery 17.0.5未満
プラグイン XSS amCharts: Charts and Maps 1.4.1未満
プラグイン XSS Best Payments Plugin for WP 4.2.1未満
プラグイン NO Directorist 7.3.1未満
プラグイン OBJECT Easy Digital Downloads 3.0.2未満
プラグイン XSS SP Project & Document Manager 4.62未満
プラグイン CSRF Gallery PhotoBlocks 1.2.6以下
プラグイン XSS Create Pinterest Pinboard Pages 1.0以下
プラグイン XSS Gallery PhotoBlocks 1.2.6以下
プラグイン XSS Uploading SVG, WEBP and ICO files 1.0.1以下
プラグイン UPLOAD Uploading SVG, WEBP and ICO files 1.0.1以下
プラグイン XSS Notification Bar for WordPress 1.1.8以下
プラグイン NO 59sec LITE 3.4.1以下
プラグイン XSS Alpine PhotoTile for Pinterest 1.3.1以下
プラグイン SSRF Rank Math SEO 0.95.1未満
プラグイン NO Visual Portfolio 2.18.0未満
プラグイン INCORRECT Visual Portfolio 2.19.0未満
プラグイン NO Multivendor Marketplace Solution for WooCommerce 3.8.12未満
プラグイン XSS WP Database Backup 5.9未満
プラグイン XSS Affiliates Manager 2.9.14未満
プラグイン CSV Affiliates Manager 2.9.14未満
プラグイン OBJECT Broken Link Checker 1.11.17未満
プラグイン NO Calendar Event Multi View 1.4.06以下
プラグイン XSS Autoptimize 3.1.1未満
プラグイン XSS WP STAGING 2.9.18未満
プラグイン CSV Mobile Events Manager 1.4.8未満
プラグイン BYPASS Titan Anti-spam & Security 7.3.1未満
プラグイン OBJECT WPvivid Backup 0.9.75未満
プラグイン OBJECT Download Manager 3.2.50未満
プラグイン FILE DOWNLOAD All-in-One Video Gallery 2.5.8 – 2.6.0
プラグイン SSRF Craw Data 1.0.0以下
プラグイン XSS WP Server Health Stats 1.7.0未満
プラグイン TRAVERSAL WPvivid Backup 0.9.76未満
プラグイン BYPASS Login No Captcha reCAPTCHA 1.7未満
プラグイン XSS WP Taxonomy Import 1.0.4以下
プラグイン XSS WBW Currency Switcher for WooCommerce 1.6.6未満
プラグイン XSS Post SMTP 2.1.4未満
プラグイン XSS WP-UserOnline 2.88.1未満
プラグイン XSS Classified Listing Pro 2.0.20未満
プラグイン XSS Classima 2.1.11未満
プラグイン OBJECT Ajax Load More 5.5.4未満
プラグイン TRAVERSAL Ajax Load More 5.5.4未満
プラグイン DOS Better Messages 9.10.58未満
プラグイン XSS Search Exclude 1.2.7未満
プラグイン XSS Scroll To Top 1.4.1未満
プラグイン XSS Float to Top Button 2.3.6以下
プラグイン CSRF WordPress Ping Optimizer 1.3.0未満
プラグイン SQLI BadgeOS 7.1.3未満
プラグイン XSS All-in-One WP Migration 7.63未満
プラグイン CSRF Better Font Awesome 2.0.2未満
プラグイン CSRF SEO Scout 0.9.83以下
プラグイン XSS Poll, Survey, Questionnaire and Voting system 1.7.4以下
プラグイン NO About Me 1.0.12以下
プラグイン NO Accommodation System 1.0.1以下
プラグイン NO About Rentals 1.5以下
プラグイン NO Event Calendar 1.4.6以下
プラグイン CSRF Access Code Feeder 1.0.3以下
プラグイン XSS WP Forecast 7.6未満
プラグイン XSS Advanced Order Export For WooCommerce 3.3.2未満
プラグイン SQLI Zephyr Project Manager 3.2.5未満
プラグイン BYPASS Site Offline 1.5.3未満
プラグイン XSS Form Builder CP 1.2.32未満
プラグイン XSS Slickr Flickr 2.8.1以下
プラグイン XSS Gettext override translations 2.0.0未満
プラグイン XSS Beaver Builder 5.5.3未満
プラグイン XSS Beaver Builder 5.5.3未満
プラグイン XSS Visual Composer Website Builder 45.0.1未満
プラグイン XSS Visual Composer Website Builder 45.0.1未満
プラグイン XSS Simple File List 4.4.12未満
プラグイン XSS Beaver Builder 5.5.3未満
プラグイン XSS Beaver Builder 5.5.3未満
プラグイン XSS Add User Role 0.0.1以下
プラグイン XSS Bitcoin / Altcoin Faucet 1.6.0以下
プラグイン XSS Simple Bitcoin Faucets 1.7.0以下
プラグイン BYPASS Restricted Site Access 7.3.2未満
プラグイン XSS Wordlift 3.37.2未満
プラグイン XSS Generate PDF using Contact Form 7 3.6未満
プラグイン XSS Image Hover Effects Ultimate 9.8.0未満
プラグイン XSS add2fav 1.0以下
プラグイン NO WP Shop Original 3.9.6以下
プラグイン RACE WP-PostRatings 1.90未満