WordPress 2022年9月_脆弱性レポート 2022/10/31
2022年9月度のWordPressに関する脆弱性レポートをお知らせします。
9月度全体の脆弱性報告件数としては110件であり、2022年8月度から27件減少しています。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、プラグインが110件、テーマが0件でした。
本体に関しまして、今月は脆弱性が発生していませんでした。
プラグインに関しましては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
トピックス
プラグインに関しましては先月から27件減少し、110件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール400万以上、総ダウンロード数2億以上の人気プラグイン『Wordfence』にXSSの脆弱性が発生しています。
このプラグインはマルウェアスキャナーおよびエンドポイントファイアウォールが搭載されたWordPressを保護するためのプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン7.7.1以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール300万以上、総ダウンロード数1億以上の人気プラグイン『All in One SEO』にSSRFの脆弱性が発生しています。
このプラグインは、基礎的なSEO対策を一括で管理できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン4.2.6.1以上への更新によって塞ぐことができます。
その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- NinjaFormsにてOBJECT INJECTION
- Slider, Gallery, and Carousel by MetaSliderにてXSS
- Sucuri SecurityにてCSRF
- Enable Media ReplaceにてTRAVERSAL
- Download ManagerにてTRAVERSAL
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで43件、2位がCSRFで33件、3位がSQLiおよびTRAVERSALで4件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2022年9月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表:2022年9月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | CSRF | LBStopAttack | 1.1.2以下 |
| プラグイン | XSS | Contact Bank | 3.0.30以下 |
| プラグイン | CSRF | AdminPad | 2.2未満 |
| プラグイン | CSRF | Manage Notification E-mails | 1.8.3未満 |
| プラグイン | XSS | Tutor LMS | 2.0.10未満 |
| プラグイン | XSS | Meks Easy Social Share | 1.2.8未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Helpful | 4.5.26未満 |
| プラグイン | ACCESS CONTROLS | miniOrange Discord Integration | 2.1.6未満 |
| プラグイン | CSRF | Frontend File Manager | 21.4未満 |
| プラグイン | BYPASS | Drag and Drop Multiple File Upload | 1.3.6.5未満 |
| プラグイン | XSS | FontMeister | 1.08以下 |
| プラグイン | NO AUTHORISATION | MailOptin | 1.2.50.0未満 |
| プラグイン | CSRF | Backup Scheduler | 1.5.13以下 |
| プラグイン | CSRF | Kraken.io Image Optimizer | 2.6.6未満 |
| プラグイン | CSRF | SEO Redirection | 9.1未満 |
| プラグイン | CSRF | Seriously Simple Podcasting | 2.16.1未満 |
| プラグイン | CSRF | 3D Tag Cloud | 3.8以下 |
| プラグイン | CSV INJECTION | Export Post Info | 1.2.1未満 |
| プラグイン | INCORRECT AUTHORISATION | Customer Reviews for WooCommerce | 5.3.6未満 |
| プラグイン | CSRF | Customer Reviews for WooCommerce | 5.3.6未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Customer Reviews for WooCommerce | 5.3.6未満 |
| プラグイン | XSS | Tabs | 3.7.2未満 |
| プラグイン | CSRF | Demon Image Annotation | 4.8未満 |
| プラグイン | CSRF | FavIcon Switcher | 1.2.11以下 |
| プラグイン | CSRF | WP Custom Cursors | 3.0.1未満 |
| プラグイン | SQLI | WP Custom Cursors | 3.0.1以下 |
| プラグイン | CSRF | WP Custom Cursors | 3.0.1未満 |
| プラグイン | INSUFFICIENT CRYPTOGRAPHY | Passster | 3.5.5.5.2未満 |
| プラグイン | NO AUTHORISATION | Import all XML, CSV & TXT into WordPress | 6.5.8未満 |
| プラグイン | SQLI | Import all XML, CSV & TXT into WordPress | 6.5.8未満 |
| プラグイン | SQLI | Search Logger | 0.9以下 |
| プラグイン | XSS | We’re Open! | 1.42未満 |
| プラグイン | XSS | reSmush.it Image Optimizer | 0.4.6未満 |
| プラグイン | XSS | Social Rocket | 1.3.3未満 |
| プラグイン | XSS | Top Bar | 3.0.4未満 |
| プラグイン | XSS | Simple File List | 4.4.12未満 |
| プラグイン | CSRF | Simple File List | 4.4.13未満 |
| プラグイン | FILE DOWNLOAD | Download Monitor | 4.5.98未満 |
| プラグイン | NO AUTHORISATION | Awesome Filterable Portfolio | 1.9.7以下 |
| プラグイン | XSS | Awesome Filterable Portfolio | 1.9.7以下 |
| プラグイン | XSS | CPO Shortcodes | 1.5.0以下 |
| プラグイン | TRAVERSAL | SearchWP Live Ajax Search | 1.6.3未満 |
| プラグイン | XSS | TaskBuilder | 1.0.8未満 |
| プラグイン | XSS | Advanced Comment Form | 1.2.1未満 |
| プラグイン | CSRF | Advanced Dynamic Pricing for WooCommerce | 4.1.4未満 |
| プラグイン | XSS | Notice Board | 1.1以下 |
| プラグイン | XSS | GS Testimonial Slider | 1.9.7未満 |
| プラグイン | RACE CONDITION | Rate my Post | 3.3.5未満 |
| プラグイン | CSRF | Rate my Post | 3.3.5未満 |
| プラグイン | XSS | Awesome Support | 6.0.8未満 |
| プラグイン | CSRF | Sucuri Security | 1.8.34未満 |
| プラグイン | NO AUTHORISATION | Disable User Login | 1.0.1以下 |
| プラグイン | SENSITIVE DATA DISCLOSURE | WP 2FA | 2.3.0未満 |
| プラグイン | TRAVERSAL | Enable Media Replace | 4.0.0未満 |
| プラグイン | XSS | Slider, Gallery, and Carousel by MetaSlider | 3.27.9未満 |
| プラグイン | CSRF | Multiple Plugins from Viszt Peter – Multiple CSRF | – |
| プラグイン | PRIVESC | WPGateway | 3.5以下 |
| プラグイン | XSS | Soledad | 8.2.5未満 |
| プラグイン | CSRF | YDS Support Ticket System | 1.0以下 |
| プラグイン | XSS | Add Shortcodes Actions And Filters | 2.0.9以下 |
| プラグイン | CSRF | Read more By Adam | 1.1.8以下 |
| プラグイン | XSS | PCA Predict | 1.0.3以下 |
| プラグイン | NO AUTHORISATION | Photospace Gallery | 2.3.5以下 |
| プラグイン | XSS | DSGVO All in one for WP | 4.2未満 |
| プラグイン | CSRF | RD Station | 5.1.3以下 |
| プラグイン | XSS | Culture Object | 4.1.1未満 |
| プラグイン | XSS | Export Post Info | 1.2.0未満 |
| プラグイン | CSRF | wpForo Forum | 2.0.6未満 |
| プラグイン | XSS | Contact Form By Mega Forms | 1.2.5未満 |
| プラグイン | XSS | Zephyr Project Manager | 3.2.55未満 |
| プラグイン | XSS | Donation Thermometer | 2.1.3未満 |
| プラグイン | XSS | Goolytics – Simple Google Analytics | 1.1.2未満 |
| プラグイン | NO AUTHORISATION | Frontend File Manager | 21.3未満 |
| プラグイン | UPLOAD | Frontend File Manager | 21.3未満 |
| プラグイン | XSS | Wordfence | 7.6.1未満 |
| プラグイン | TRAVERSAL | BackupBuddy | 8.7.5未満 |
| プラグイン | CSRF | Booking Calendar | 9.2.2未満 |
| プラグイン | XSS | WP Socializer | 7.3未満 |
| プラグイン | XSS | Ketchup Restaurant Reservations | 1.0.0以下 |
| プラグイン | SQLI | Ketchup Restaurant Reservations | 1.0.0以下 |
| プラグイン | NO AUTHORISATION | WP Shamsi | 4.2.0未満 |
| プラグイン | CSRF | All in One SEO | 4.2.4未満 |
| プラグイン | NO AUTHORISATION | WP Popup Builder | 1.3.0未満 |
| プラグイン | XSS | WP Popup Builder | 1.2.9未満 |
| プラグイン | CSRF | Login Block IPs | 1.0.0以下 |
| プラグイン | XSS | SEO Smart Links | 3.0.1以下 |
| プラグイン | OBJECT INJECTION | NinjaForms | 3.6.13未満 |
| プラグイン | XSS | SVG Support | 2.5未満 |
| プラグイン | TRAVERSAL | Download Manager | 3.2.55未満 |
| プラグイン | SSRF | Post SMTP | 2.1.7未満 |
| プラグイン | UPLOAD | CM Download Manager | 2.8.6未満 |
| プラグイン | XSS | Slider Hero | 8.4.4未満 |
| プラグイン | AUTHBYPASS | OAuth client Single Sign On for WordPress | 3.0.4未満 |
| プラグイン | NO AUTHORISATION | Ldap WP Login / Active Directory Integration | 3.0.2未満 |
| プラグイン | XSS | Torro Forms | 1.0.16以下 |
| プラグイン | XSS | History Timeline | 1.0.5以下 |
| プラグイン | XSS | Meet My Team | 2.0.5以下 |
| プラグイン | CSRF | Pop-up | 1.1.6未満 |
| プラグイン | CSRF | Mega Addons For WPBakery Page Builder | 4.2.7以下 |
| プラグイン | BYPASS | WP Cerber Security | 9.1未満 |
| プラグイン | XSS | WHA Crossword | 1.1.10以下 |
| プラグイン | CSRF | Blossom Recipe Maker | 1.0.7以下 |
| プラグイン | XSS | Word Search Puzzles game | 2.0.1以下 |
| プラグイン | XSS | WHA Crossword | 1.1.10以下 |
| プラグイン | CSRF | GetResponse | 5.5.21未満 |
| プラグイン | XSS | Word Search Puzzles Game | 2.0.1以下 |
| プラグイン | CSRF | Captcha Code | 2.7以下 |
| プラグイン | CSRF | CallRail Phone Call Tracking | 0.4.10未満 |
| プラグイン | XSS | Easy Org Chart | 3.1以下 |
| プラグイン | CSRF | MP3 jPlayer | 2.7.3以下 |