WordPress 2022年8月_脆弱性レポート 2022/9/30
2022年8月度のWordPressに関する脆弱性レポートをお知らせします。
8月度全体の脆弱性報告件数としては137件であり、2022年7月度から37件増加しています。
個所別レポート
個所別の発生件数は、それぞれ本体が3件、プラグインが133件、テーマが1件でした。
本体に関しまして、今月は脆弱性が発生しています。
プラグインに関しましては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
また、テーマに関しまして今月も脆弱性が発生しています。
トピックス
プラグインに関しましては先月から36件増加し、133件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール500万以上、総ダウンロード数8545万以上の人気プラグイン『All-in-One WP Migration』にXSSの脆弱性が発生しています。
このプラグインは、WordPressの内容をバックアップ、移行できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン7.65以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール100万以上、総ダウンロード数4212万以上の人気プラグイン『Rank Math SEO』にSSRFの脆弱性が発生しています。
このプラグインは、WordPressでSEOの最適化のための設定ができるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン1.0.98.2以上への更新によって塞ぐことができます。
その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- DuplicatorにてACCESS CONTROLSとSENSITIVE DATA DISCLOSURE
- AutoptimizeにてXSS
- Advanced Custom FieldsにてUPLOAD
- MailChimp for WoocommerceにてUPLOADとSSRF
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで56件、2位がCSRFで17件、3位がSQLiで9件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2022年8月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2022年8月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | XSS | WP | 6.0.2未満 |
| 本体 | XSS | WP | 6.0.2未満 |
| 本体 | SQLI | WP | 6.0.2未満 |
| テーマ | CSRF | Ask Me | 6.8.4未満 |
| プラグイン | XSS | Student Result or Employee Database | 1.7.5未満 |
| プラグイン | FILE | Lana Downloads Manager | 1.8.0未満 |
| プラグイン | XSS | WP Sticky Button | 1.4.1未満 |
| プラグイン | XSS | LinkWorth Plugin | 3.3.4未満 |
| プラグイン | CSRF | Yotpo Reviews for WooCommerce | 2.0.4以下 |
| プラグイン | BYPASS | Download Manager | 3.2.50未満 |
| プラグイン | SENSITIVE | Simple Job Board | 2.10.0未満 |
| プラグイン | SENSITIVE | Ninja Job Board | 1.3.3未満 |
| プラグイン | IDOR | WPQA | 5.7未満 |
| プラグイン | NO | WP Edit Menu | 1.5.0未満 |
| プラグイン | CSRF | WP Edit Menu | 1.5.0以下 |
| プラグイン | XSS | WP phpMyAdmin | 2.0.4未満 |
| プラグイン | TAB | Auto-hyperlink URLs | 5.4.1以下 |
| プラグイン | XSS | Enable SVG, WebP & ICO Upload | 1.0.1以下 |
| プラグイン | XSS | Enable SVG, WebP & ICO Upload | 1.0.1以下 |
| プラグイン | ACCESS | Duplicator | 1.4.7未満 |
| プラグイン | SENSITIVE | Duplicator | 4.7.1未満 |
| プラグイン | SQLI | Better Search and Replace | 1.4.1未満 |
| プラグイン | UPLOAD | Advanced Custom Fields | 5.0-5.12.2 |
| プラグイン | ACCESS | Affiliate For WooCommerce | 4.8.0未満 |
| プラグイン | CSRF | MailerLite – Signup forms (official) | 1.5.7未満 |
| プラグイン | XSS | Download Manager | 3.2.49未満 |
| プラグイン | CSRF | Download Manager | 3.2.49未満 |
| プラグイン | SQLI | NEX-Forms | 7.9.7未満 |
| プラグイン | SQLI | Fluent Support | 1.5.8未満 |
| プラグイン | CSRF | uContext for Clickbank | 3.9.1以下 |
| プラグイン | CSRF | uContext for Amazon | 3.9.1以下 |
| プラグイン | CSRF | Link Optimizer Lite | 1.4.5以下 |
| プラグイン | CSRF | Banner Cycler | 1.4以下 |
| プラグイン | IDOR | Affiliate For WooCommerce | 4.8.0未満 |
| プラグイン | CSRF | Download Manager | 3.2.49未満 |
| プラグイン | CSRF | MaxButtons | 9.3未満 |
| プラグイン | SSRF | MailChimp for Woocommerce | 2.7.1未満 |
| プラグイン | SSRF | MailChimp for Woocommerce | 2.7.2未満 |
| プラグイン | LFI | WPide | 3.0未満 |
| プラグイン | XSS | WooCommerce PDF Invoices & Packing Slips | 3.0.1未満 |
| プラグイン | XSS | Anti-Malware Security and Brute-Force Firewall | 4.21.83未満 |
| プラグイン | FILE | Download Manager | 3.2.51未満 |
| プラグイン | SENSITIVE | Sensei LMS | 4.5.0未満 |
| プラグイン | IDOR | Sensei LMS | 4.5.2未満 |
| プラグイン | CSRF | Ecwid Ecommerce Shopping Cart | 6.10.24未満 |
| プラグイン | NO | ActiveDEMAND plugin | 0.2.27以下 |
| プラグイン | XSS | WP Hide & Security Enhancer | 1.8未満 |
| プラグイン | NO | Simply Schedule Appointments | 5.7.7未満 |
| プラグイン | XSS | Simply Schedule Appointments | 5.7.7未満 |
| プラグイン | BYPASS | Stop Spam Comments | 2.1.2以下 |
| プラグイン | SQLI | Leaflet Maps Marker | 3.12.5未満 |
| プラグイン | FILE | Export All URLs | 4.4未満 |
| プラグイン | OBJECT | String Locator | 2.6.0未満 |
| プラグイン | SQLI | JoomSport | 5.2.6未満 |
| プラグイン | AUTHBYPASS | Simple Single Sign On | 4.1.0以下 |
| プラグイン | TRAVERSAL | WPide | 3.0未満 |
| プラグイン | SQLI | Contest Gallery | 17.0.5未満 |
| プラグイン | XSS | amCharts: Charts and Maps | 1.4.1未満 |
| プラグイン | XSS | Best Payments Plugin for WP | 4.2.1未満 |
| プラグイン | NO | Directorist | 7.3.1未満 |
| プラグイン | OBJECT | Easy Digital Downloads | 3.0.2未満 |
| プラグイン | XSS | SP Project & Document Manager | 4.62未満 |
| プラグイン | CSRF | Gallery PhotoBlocks | 1.2.6以下 |
| プラグイン | XSS | Create Pinterest Pinboard Pages | 1.0以下 |
| プラグイン | XSS | Gallery PhotoBlocks | 1.2.6以下 |
| プラグイン | XSS | Uploading SVG, WEBP and ICO files | 1.0.1以下 |
| プラグイン | UPLOAD | Uploading SVG, WEBP and ICO files | 1.0.1以下 |
| プラグイン | XSS | Notification Bar for WordPress | 1.1.8以下 |
| プラグイン | NO | 59sec LITE | 3.4.1以下 |
| プラグイン | XSS | Alpine PhotoTile for Pinterest | 1.3.1以下 |
| プラグイン | SSRF | Rank Math SEO | 0.95.1未満 |
| プラグイン | NO | Visual Portfolio | 2.18.0未満 |
| プラグイン | INCORRECT | Visual Portfolio | 2.19.0未満 |
| プラグイン | NO | Multivendor Marketplace Solution for WooCommerce | 3.8.12未満 |
| プラグイン | XSS | WP Database Backup | 5.9未満 |
| プラグイン | XSS | Affiliates Manager | 2.9.14未満 |
| プラグイン | CSV | Affiliates Manager | 2.9.14未満 |
| プラグイン | OBJECT | Broken Link Checker | 1.11.17未満 |
| プラグイン | NO | Calendar Event Multi View | 1.4.06以下 |
| プラグイン | XSS | Autoptimize | 3.1.1未満 |
| プラグイン | XSS | WP STAGING | 2.9.18未満 |
| プラグイン | CSV | Mobile Events Manager | 1.4.8未満 |
| プラグイン | BYPASS | Titan Anti-spam & Security | 7.3.1未満 |
| プラグイン | OBJECT | WPvivid Backup | 0.9.75未満 |
| プラグイン | OBJECT | Download Manager | 3.2.50未満 |
| プラグイン | FILE DOWNLOAD | All-in-One Video Gallery | 2.5.8 – 2.6.0 |
| プラグイン | SSRF | Craw Data | 1.0.0以下 |
| プラグイン | XSS | WP Server Health Stats | 1.7.0未満 |
| プラグイン | TRAVERSAL | WPvivid Backup | 0.9.76未満 |
| プラグイン | BYPASS | Login No Captcha reCAPTCHA | 1.7未満 |
| プラグイン | XSS | WP Taxonomy Import | 1.0.4以下 |
| プラグイン | XSS | WBW Currency Switcher for WooCommerce | 1.6.6未満 |
| プラグイン | XSS | Post SMTP | 2.1.4未満 |
| プラグイン | XSS | WP-UserOnline | 2.88.1未満 |
| プラグイン | XSS | Classified Listing Pro | 2.0.20未満 |
| プラグイン | XSS | Classima | 2.1.11未満 |
| プラグイン | OBJECT | Ajax Load More | 5.5.4未満 |
| プラグイン | TRAVERSAL | Ajax Load More | 5.5.4未満 |
| プラグイン | DOS | Better Messages | 9.10.58未満 |
| プラグイン | XSS | Search Exclude | 1.2.7未満 |
| プラグイン | XSS | Scroll To Top | 1.4.1未満 |
| プラグイン | XSS | Float to Top Button | 2.3.6以下 |
| プラグイン | CSRF | WordPress Ping Optimizer | 1.3.0未満 |
| プラグイン | SQLI | BadgeOS | 7.1.3未満 |
| プラグイン | XSS | All-in-One WP Migration | 7.63未満 |
| プラグイン | CSRF | Better Font Awesome | 2.0.2未満 |
| プラグイン | CSRF | SEO Scout | 0.9.83以下 |
| プラグイン | XSS | Poll, Survey, Questionnaire and Voting system | 1.7.4以下 |
| プラグイン | NO | About Me | 1.0.12以下 |
| プラグイン | NO | Accommodation System | 1.0.1以下 |
| プラグイン | NO | About Rentals | 1.5以下 |
| プラグイン | NO | Event Calendar | 1.4.6以下 |
| プラグイン | CSRF | Access Code Feeder | 1.0.3以下 |
| プラグイン | XSS | WP Forecast | 7.6未満 |
| プラグイン | XSS | Advanced Order Export For WooCommerce | 3.3.2未満 |
| プラグイン | SQLI | Zephyr Project Manager | 3.2.5未満 |
| プラグイン | BYPASS | Site Offline | 1.5.3未満 |
| プラグイン | XSS | Form Builder CP | 1.2.32未満 |
| プラグイン | XSS | Slickr Flickr | 2.8.1以下 |
| プラグイン | XSS | Gettext override translations | 2.0.0未満 |
| プラグイン | XSS | Beaver Builder | 5.5.3未満 |
| プラグイン | XSS | Beaver Builder | 5.5.3未満 |
| プラグイン | XSS | Visual Composer Website Builder | 45.0.1未満 |
| プラグイン | XSS | Visual Composer Website Builder | 45.0.1未満 |
| プラグイン | XSS | Simple File List | 4.4.12未満 |
| プラグイン | XSS | Beaver Builder | 5.5.3未満 |
| プラグイン | XSS | Beaver Builder | 5.5.3未満 |
| プラグイン | XSS | Add User Role | 0.0.1以下 |
| プラグイン | XSS | Bitcoin / Altcoin Faucet | 1.6.0以下 |
| プラグイン | XSS | Simple Bitcoin Faucets | 1.7.0以下 |
| プラグイン | BYPASS | Restricted Site Access | 7.3.2未満 |
| プラグイン | XSS | Wordlift | 3.37.2未満 |
| プラグイン | XSS | Generate PDF using Contact Form 7 | 3.6未満 |
| プラグイン | XSS | Image Hover Effects Ultimate | 9.8.0未満 |
| プラグイン | XSS | add2fav | 1.0以下 |
| プラグイン | NO | WP Shop Original | 3.9.6以下 |
| プラグイン | RACE | WP-PostRatings | 1.90未満 |