Pocket

WordPress 2022年11月_脆弱性レポート  2022/12/28

2022年11月度のWordPressに関する脆弱性レポートをお知らせします。

11月度全体の脆弱性報告件数としては172件であり、2022年10月度から67件増加しています。

個所別レポート

個所別の発生件数は、それぞれプラグインが167件、テーマが5件でした。

本体に関しまして、今月は脆弱性が発生しておりませんでした。

プラグインに関しましては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。

プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

また、テーマに関しまして今月も脆弱性が発生しています。

トピックス

プラグインに関しましては先月から79件増加し、167件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。

以下、有名プラグインについて詳述します。

一つ目に、アクティブインストール100万以上、総ダウンロード数1900万以上の人気プラグイン『All In One WP Security & Firewall』にBYPASSおよびCSRFの脆弱性が発生しています。

このプラグインはWordPressのサイトを攻撃から保護することができるセキュリティを強化するプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン5.1.4以上への更新によって塞ぐことができます。

二つ目に、アクティブインストール30万以上、総ダウンロード数1600万以上の人気プラグイン『Photo Gallery』にXSSの脆弱性が発生しています。

このプラグインは、豊富な機能でWordpressの記事に写真を掲載できるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン1.8.8以上への更新によって塞ぐことができます。

その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

  • Broken Link CheckerにてXSS
  • Icegram ExpressにてSQLI
  • Easy WP SMTPにてFILE DELETIONおよびTRAVERSALおよびRCE

また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで67件、2位がCSRFで18件、3位がSQLiおよびで15件でした。

トピックス

XSSの発生件数が一番多く、例月通りの傾向です。

脆弱性一覧

2022年11月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表内で「脆弱性分類」および「発見されたVer.」が重複していた「脆弱性のある本体・プラグイン・テーマの名称」につきましては1件の脆弱性として記載しています。

表:2022年11月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
テーマ IDOR Workreap – Freelance Marketplace and Directory 2.6.3未満
テーマ OBJECT INJECTION Betheme 26.6未満
テーマ XSS BeTheme 26.6.3未満
テーマ NO AUTHORISATION Theme and plugin translation for Polylang 3.2.17未満
プラグイン NO AUTHORISATION WatchTowerHQ 3.6.16未満
プラグイン NO AUTHORISATION Permalink Manager Lite 2.2.20.1未満
プラグイン XSS Salat Times 3.2.2未満
プラグイン SQLI OWM Weather 5.6.9未満
プラグイン XSS Jeeng Push Notifications 2.0.4未満
プラグイン XSS Video Thumbnails 2.12.3以下
プラグイン XSS Font Awesome 4 Menus 4.7.0以下
プラグイン XSS AgentEasy Properties 1.0.4以下
プラグイン XSS AM-HiLi 1.0以下
プラグイン XSS 4ECPS Web Forms 0.2.17以下
プラグイン XSS Beautiful Cookie Consent Banner 2.9.1未満
プラグイン XSS Analytics for WP 1.5.1以下
プラグイン XSS Google Forms 0.95以下
プラグイン XSS Fancier Author Box by ThematoSoup 1.4以下
プラグイン XSS reCAPTCHA 1.6以下
プラグイン XSS Image Hover Effects Css3 4.5以下
プラグイン XSS Find and Replace All 1.3未満
プラグイン CSRF’ Find and Replace All 1.3以下
プラグイン CSRF’ VR Calendar 2.3.4未満
プラグイン CSRF’ Showing URL in QR Code 0.0.1以下
プラグイン XSS Donations via PayPal 1.9.9未満
プラグイン XSS WP Admin UI Customize 1.5.13未満
プラグイン SQLI HTML Forms 1.3.25未満
プラグイン OBJECT INJECTION Checkout Field Editor for WooCommerce 1.8.0未満
プラグイン IDOR Awesome Support 6.1.2未満
プラグイン SQLI WPSmartContracts 1.3.12未満
プラグイン SQLI WP User Merger 1.5.3未満
プラグイン CSRF Testimonial Slider 1.3.1以下
プラグイン NO AUTHORISATION LoginPress 1.6.3未満
プラグイン XSS WP OAuth Server 4.2.2未満
プラグイン CSRF 3DPrint 3.5.4.7以下
プラグイン RCE Theme-Demo-Importer 1.1.1未満
プラグイン NO AUTHORISATION Blog2Social 6.9.12未満
プラグイン XSS Salon Booking System 7.9.4未満
プラグイン SQLI Form Vibes 1.4.5未満
プラグイン CSV INJECTION Export customers list CSV for WooCommerce 2.0.69未満
プラグイン XSS Seed Social 2.0.4未満
プラグイン SQLI WP CSV Exporter 1.3.7未満
プラグイン XSS Simple Video Embedder 2.2以下
プラグイン CSRF WPML 4.5.14未満
プラグイン NO AUTHORISATION WPML 4.5.11未満
プラグイン UPLOAD wpForo Forum 2.1.0未満
プラグイン CSRF REST API Authentication 2.4.1未満
プラグイン BYPASS Better Messages 1.9.10.71未満
プラグイン NO AUTHORISATION WPML 4.5.11未満
プラグイン XSS WP Page Builder 1.2.8以下
プラグイン XSS Uji Countdown 2.2以下
プラグイン XSS WPUpper Share Buttons 3.42以下
プラグイン SENSITIVE DATA DISCLOSURE Clerk 4.0.0未満
プラグイン XSS Add Comments 1.0.1以下
プラグイン XSS Advanced WP Columns 2.0.6以下
プラグイン CSRF WP OAuth Server 3.4.2未満
プラグイン FILE DOWNLOAD S2W – Import Shopify to WooCommerce 1.1.13未満
プラグイン UPLOAD PostmagThemes Demo 1.0.8未満
プラグイン XSS Broken Link Checker 1.11.20未満
プラグイン CSRF AdRotate Banner Manager 5.9.1未満
プラグイン SQLI Chaty 3.0.3未満
プラグイン SQLI Comic Book Management System 2.2.0未満
プラグイン CSRF Advanced Import 1.3.8未満
プラグイン CSRF Becustom 1.0.5.3未満
プラグイン INCORRECT AUTHORISATION Transposh WordPress Translation 1.0.8以下
プラグイン XSS WP Affiliate Platform 6.4.0未満
プラグイン CSRF WP Affiliate Platform 6.4.0未満
プラグイン CSRF Follow Me Plugin 3.1.1以下
プラグイン XSS WordPress Countdown Widget 3.1.9.3未満
プラグイン XSS Feed Them Social 3.0.1未満
プラグイン CSRF Feed Them Social 3.0.1未満
プラグイン IDOR TeraWallet – For WooCommerce 1.4.4未満
プラグイン XSS Photospace Gallery 2.3.5以下
プラグイン XSS Helloprint 1.4.7未満
プラグイン XSS Easy Form Builder 3.4.0未満
プラグイン XSS Image Hover Effects 5.3以下
プラグイン NO AUTHORISATION Donation Button 4.0.0以下
プラグイン XSS Donation Button 4.0.0以下
プラグイン XSS WooCommerce Shipping – DPD baltic 1.2.11未満
プラグイン INCORRECT AUTHORISATION SVG Support 2.5-2.5.1
プラグイン CSRF Permalink Manager Lite 2.2.20.2未満
プラグイン IDOR Directorist 7.4.2.2未満
プラグイン XSS GetYourGuide Ticketing 1.0.4未満
プラグイン SQLI Buddybadges 1.0.0以下
プラグイン XSS Essential Real Estate 3.9.6未満
プラグイン XSS Flat PM 2.661以下
プラグイン OBJECT INJECTION Shortcodes and extra features for Phlox theme 2.10.8以下
プラグイン XSS Ultimate Tables 1.6.5以下
プラグイン XSS News Announcement Scroll 9.0.0未満
プラグイン CSV INJECTION ProfileGrid 5.1.8未満
プラグイン XSS Ezoic 2.8.9未満
プラグイン CSV INJECTION Export Users With Meta 0.6.10以下
プラグイン XSS Anthologize 0.8.1未満
プラグイン XSS Chameleon 1.4.4未満
プラグイン XSS iFeature Slider 1.2以下
プラグイン INCORRECT AUTHORISATION Crowdsignal Dashboard 3.0.10未満
プラグイン CSRF wpForo Forum 2.1.0未満
プラグイン NO AUTHORISATION WooSwipe WooCommerce Gallery 2.0.1以下
プラグイン ACCESS CONTROLS WordPress Popular Posts 6.1.0未満
プラグイン NO AUTHORISATION Plugin for Google Reviews 2.2.3未満
プラグイン XSS Quizlord 2.0以下
プラグイン SQLI Icegram Express 5.5.1未満
プラグイン UPLOAD Booking Calendar 3.2.2未満
プラグイン BYPASS All In One WP Security & Firewall 5.0.8未満
プラグイン NO AUTHORISATION WooCommerce Shipping – DPD baltic 1.2.11以下
プラグイン XSS Jetpack CRM 5.4.3未満
プラグイン XSS Livemesh Addons for Elementor 7.2.4未満
プラグイン OBJECT INJECTION Cooked Pro 1.7.5.7未満
プラグイン CSRF Booster for WooCommerce
プラグイン UPLOAD Listingo 3.2.7未満
プラグイン XSS Welcart e-Commerce 2.8.4未満
プラグイン NO AUTHORISATION Welcart e-Commerce 2.8.4未満
プラグイン UPLOAD Motors – Car Dealer, Classifieds & Listing 1.4.4未満
プラグイン SQLI Dokan 3.7.6未満
プラグイン UPLOAD User Registration 2.2.4.1未満
プラグイン INCORRECT AUTHORISATION Car Dealer 3.05未満
プラグイン INCORRECT AUTHORISATION AntiHacker 4.20未満
プラグイン INCORRECT AUTHORISATION WPTools 3.43未満
プラグイン INCORRECT AUTHORISATION WP Memory 2.46未満
プラグイン INCORRECT AUTHORISATION StopBadBots 7.24未満
プラグイン XSS Responsive Lightbox2 1.0.4未満
プラグイン XSS WP Stripe Checkout 1.2.2.21未満
プラグイン XSS Videojs HTML5 Player 1.1.9未満
プラグイン XSS Flowplayer Video Player 1.0.5未満
プラグイン XSS Checkout for PayPal 1.0.14未満
プラグイン XSS Easy Video Player 1.2.2.3未満
プラグイン FILE DOWNLOAD SMSA Shipping for WooCommerce 1.0.5未満
プラグイン CSRF All-In-One Security 5.1.1未満
プラグイン XSS Contest Gallery 14.0.0未満
プラグイン RACE CONDITION WP ULike 4.6.5未満
プラグイン IDOR wpForo Forum 2.0.6未満
プラグイン SENSITIVE DATA DISCLOSURE Syncee – Global Dropshipping 1.0.10未満
プラグイン XSS Popup Manager 1.6.6以下
プラグイン FILE DOWNLOAD Wholesale Market for WooCommerce 1.0.7未満
プラグイン FILE DOWNLOAD Wholesale Market for WooCommerce 1.0.8未満
プラグイン XSS External Media 1.0.36未満
プラグイン NO AUTHORISATION Popup Manager 1.6.6以下
プラグイン LFI InPost Gallery 2.1.4.1未満
プラグイン XSS Photo Gallery 1.8.3未満
プラグイン NO AUTHORISATION Pie Register 3.8.1.3未満
プラグイン NO AUTHORISATION Directorist 7.4.4未満
プラグイン SQLI JoomSport 5.2.8未満
プラグイン UPLOAD JobBoardWP 1.2.2未満
プラグイン CSRF Manage Notification E-mails 1.8.3未満
プラグイン UPLOAD SEO Plugin by Squirrly SEO 12.1.11未満
プラグイン CSRF Better Click to Tweet 5.10.4未満
プラグイン NO AUTHORISATION WP Shamsi 4.1.1未満
プラグイン CSV INJECTION WP CSV Exporter 1.3.7未満
プラグイン FILE DELETION Simple:Press 6.8.1未満
プラグイン XSS Simple:Press 6.8.1未満
プラグイン TRAVERSAL Simple:Press 6.8.1未満
プラグイン CROSS FRAME SCRIPTING Quiz and Survey Master 8.0.5未満
プラグイン CONTENT INJECTION Quiz and Survey Master 8.0.5未満
プラグイン CROSS FRAME SCRIPTING Appointment Hour Booking 1.3.73未満
プラグイン BYPASS Appointment Hour Booking 1.3.73未満
プラグイン CSV INJECTION Appointment Hour Booking 1.3.73未満
プラグイン CSRF Advanced Coupons for WooCommerce Coupons 4.5.0.1未満
プラグイン XSS Custom Product Tabs for WooCommerce 1.8.0未満
プラグイン XSS Eventify 2.1以下
プラグイン XSS Paytium 4.3.6以下
プラグイン SQLI IWS – Geo Form Fields 1.0以下
プラグイン XSS Sliderby10Web 1.2.53未満
プラグイン FILE DELETION Easy WP SMTP 1.5.2未満
プラグイン TRAVERSAL Easy WP SMTP 1.5.2未満
プラグイン RCE Easy WP SMTP 1.5.2未満