WordPress 2022年10月_脆弱性レポート 2022/11/30
2022年10月度のWordPressに関する脆弱性レポートをお知らせします。
10月度全体の脆弱性報告件数としては105件であり、2022年9月度から5件減少しています。
個所別レポート
個所別の発生件数は、それぞれ本体が11件、プラグインが88件、テーマが6件でした。
本体に関しまして、今月は脆弱性が発生しています。
プラグインに関しましては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
また、テーマに関しまして今月も脆弱性が発生しています。
トピックス
プラグインに関しましては先月から22件減少し、88件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール70万以上、総ダウンロード数1500万以上の人気プラグイン『Shortcodes Ultimate』にCSRFの脆弱性が発生しています。
このプラグインは記事を装飾するタブ、ボタンなどのデザインパーツをショートコードtとして作成できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン5.12.1以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール70万以上、総ダウンロード数1500万以上の人気プラグイン『Ocean Extra』にTRAVERSALの脆弱性が発生しています。
このプラグインは、OceanWPテーマのカスタム設定の有効化、ウィジェットの配置を設定できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン2.0.5以上への更新によって塞ぐことができます。
その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- Smart Slider 3にてOBJECT INJECTION
- Popup MakerにてXSS
- Anti-Spam by CleanTalkにてSQLi
- Complianz (Free < 6.3.4, Premium < 6.3.6)にてSQLi
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで31件、2位がCSRFで18件、3位がSQLiおよびで7件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2022年10月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表内で「脆弱性分類」および「発見されたVer.」が重複していた「脆弱性のある本体・プラグイン・テーマの名称」につきましては1件の脆弱性として記載しています。
表:2022年10月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | XSS | WP | 6.0.3未満 |
| 本体 | REDIRECT | WP | 6.0.3未満 |
| 本体 | CSRF | WP | 6.0.3未満 |
| 本体 | SENSITIVE DATA DISCLOSURE | WP | 6.0.3未満 |
| 本体 | SQLI | WP | 6.0.3未満 |
| 本体 | INCORRECT AUTHORISATION | WP | 6.0.3未満 |
| テーマ | NO AUTHORISATION | Bricks Builder | 1.5.4未満 |
| テーマ | RCE | Bricks Builder | 1.5.4未満 |
| テーマ | XSS | Newspaper | 12未満 |
| テーマ | XSS | Avada | 7.8.2未満 |
| テーマ | CSRF | Ask Me | 6.8.7未満 |
| プラグイン | CSRF | Shortcodes Ultimate | 5.12.1未満 |
| プラグイン | OBJECT INJECTION | Kadence WooCommerce Email Designer | 1.5.7未満 |
| プラグイン | SQLI | Form Maker by 10Web | 1.15.6未満 |
| プラグイン | SQLI | Anti-Spam by CleanTalk | 5.185.1未満 |
| プラグイン | SSRF | Blog2Social | 6.9.10未満 |
| プラグイン | SQLI | Blog2Social | 6.9.10未満 |
| プラグイン | CSV INJECTION | Post to CSV by BestWebSoft | 1.4.0以下 |
| プラグイン | RCE | WP ALL Export Pro | 1.7.9未満 |
| プラグイン | SQLI | WP ALL Export Pro | 1.7.9未満 |
| プラグイン | XSS | Retain Live Chat | 0.1以下 |
| プラグイン | XSS | WP Humans.txt | 1.0.6以下 |
| プラグイン | OBJECT INJECTION | LearnPress | 4.1.7.2未満 |
| プラグイン | UPLOAD | Create Block Theme | 1.2.2未満 |
| プラグイン | XSS | Log HTTP Requests | 1.3.2未満 |
| プラグイン | XSS | WP Word Count | 3.2.3以下 |
| プラグイン | OBJECT INJECTION | Customizer Export/Import | 0.9.5未満 |
| プラグイン | OBJECT INJECTION | Ocean Extra | 2.0.5未満 |
| プラグイン | OBJECT INJECTION | PublishPress Capabilities | 2.5.2未満 |
| プラグイン | OBJECT INJECTION | Smart Slider 3 | 3.5.1.11未満 |
| プラグイン | PRIVESC | Automatic User Roles Switcher | 1.1.2未満 |
| プラグイン | OBJECT INJECTION | Customizer Export/Import | 0.9.5未満 |
| プラグイン | XSS | Official Integration for Billingo | 3.4.0未満 |
| プラグイン | OBJECT INJECTION | Easy WP SMTP | 1.5.0未満 |
| プラグイン | SQLI | AWP Classifieds Plugin | 4.3未満 |
| プラグイン | XSS | Envira Gallery Lite | 1.8.4.7未満 |
| プラグイン | NO AUTHORISATION | WP Total Hacks | 4.7.2以下 |
| プラグイン | XSS | WP Contact Slider | 2.4.8未満 |
| プラグイン | XSS | Rock Convert | 2.6.0未満 |
| プラグイン | XSS | Rock Convert | 2.11.0未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | AliExpress Dropshipping and Fulfilment for WooCommerce | 1.1.1未満 |
| プラグイン | XSS | AB Press Optimizer | 1.1.1以下 |
| プラグイン | XSS | Highlight Focus | 1.1以下 |
| プラグイン | XSS | WPB Show Core – Reflected Cross-Site Scripting | |
| プラグイン | CSRF | Page View Count | 2.5.6未満 |
| プラグイン | XSS | Rock Convert | 3.0.0未満 |
| プラグイン | TRAVERSAL | WP All Import | 3.6.9未満 |
| プラグイン | RCE | WP All Import | 3.6.9未満 |
| プラグイン | SQLI | Complianz (Free < 6.3.4, Premium | 6.3.6)未満 |
| プラグイン | FILE DOWNLOAD | WooCommerce Dropshipping | 4.4未満 |
| プラグイン | OBJECT INJECTION | Role Based Pricing for WooCommerce | 1.6.3未満 |
| プラグイン | UPLOAD | Role Based Pricing for WooCommerce | 1.6.2未満 |
| プラグイン | NO AUTHORISATION | Product Stock Manager | 1.0.5未満 |
| プラグイン | CSV INJECTION | FluentForm | 4.3.13未満 |
| プラグイン | CSRF | Easy Digital Downloads | 3.0未満 |
| プラグイン | NO AUTHORISATION | WP Hide | 0.0.2以下 |
| プラグイン | CSV INJECTION | Import and export users and customers | 1.20.5未満 |
| プラグイン | XSS | WP | 6.0.3未満 |
| プラグイン | CSV INJECTION | WPForms Pro | 1.7.7未満 |
| プラグイン | XSS | WP Attachments | 5.0.5未満 |
| プラグイン | XSS | Chat Bubble | 2.3未満 |
| プラグイン | COMMAND INJECTION | ImageMagick-Engine | 1.7.6未満 |
| プラグイン | NO AUTHORISATION | reSmush.it Image Optimizer | 0.4.4未満 |
| プラグイン | CSRF | reSmush.it Image Optimizer | 0.4.7未満 |
| プラグイン | NO AUTHORISATION | Webmaster Tools Verification | 1.2以下 |
| プラグイン | XSS | Testimonials (Free < 2.7, Pro | 1.0.8)未満 |
| プラグイン | CSRF | Simple SEO | 1.8.13未満 |
| プラグイン | NO AUTHORISATION | Simple SEO | 1.8.13未満 |
| プラグイン | XSS | OAuth Client by DigitialPixies | 1.1.0以下 |
| プラグイン | CSRF | OAuth Client by DigitialPixies | 1.1.0以下 |
| プラグイン | CSV INJECTION | Contact Form Entries | 1.3.0未満 |
| プラグイン | XSS | ProfileGrid | 5.1.1未満 |
| プラグイン | AUTHBYPASS | tagDiv Composer | 3.5未満 |
| プラグイン | NO AUTHORISATION | SearchWP | 4.2.6未満 |
| プラグイン | XSS | Traffic Manager | 1.4.5以下 |
| プラグイン | CSRF | WPQA | 5.9未満 |
| プラグイン | SSRF | Web Stories | 1.25.0未満 |
| プラグイン | CSV INJECTION | Contact Form 7 Database Addon | 1.2.6.5未満 |
| プラグイン | XSS | Spacer | 3.0.7未満 |
| プラグイン | XSS | WP Best Quiz | 1.0以下 |
| プラグイン | BYPASS | Login Block IPs | 1.0.0以下 |
| プラグイン | CSRF | My wpdb | 2.5未満 |
| プラグイン | TRAVERSAL | Ultimate Member | 2.5.1未満 |
| プラグイン | XSS | Evaluate | 1.0以下 |
| プラグイン | CSRF | Advanced Dynamic Pricing for WooCommerce | 4.1.6未満 |
| プラグイン | CSRF | Event Monster | 1.2.1未満 |
| プラグイン | CSRF | Event Monster | 1.2.0未満 |
| プラグイン | XSS | Popup Maker | 1.16.11未満 |
| プラグイン | BYPASS | WP-Polls | 2.76.0未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | DeepL Pro APITranslation | 1.7.5未満 |
| プラグイン | TRAVERSAL | Booster forWooCommerce – ShopManager+ Arbitrary File Download | – |
| プラグイン | CSRF | Booster forWooCommerce – Checkout Files Deletion via CSRF | – |
| プラグイン | CSRF | Restaurant Menu | 2.3.2未満 |
| プラグイン | NO AUTHORISATION | Restaurant Menu | 2.3.1未満 |
| プラグイン | CSRF | Content Egg | 5.5.0未満 |