WordPress 2022年11月_脆弱性レポート 2022/12/28
2022年11月度のWordPressに関する脆弱性レポートをお知らせします。
11月度全体の脆弱性報告件数としては172件であり、2022年10月度から67件増加しています。
個所別レポート
個所別の発生件数は、それぞれプラグインが167件、テーマが5件でした。
本体に関しまして、今月は脆弱性が発生しておりませんでした。
プラグインに関しましては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
また、テーマに関しまして今月も脆弱性が発生しています。
トピックス
プラグインに関しましては先月から79件増加し、167件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール100万以上、総ダウンロード数1900万以上の人気プラグイン『All In One WP Security & Firewall』にBYPASSおよびCSRFの脆弱性が発生しています。
このプラグインはWordPressのサイトを攻撃から保護することができるセキュリティを強化するプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン5.1.4以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール30万以上、総ダウンロード数1600万以上の人気プラグイン『Photo Gallery』にXSSの脆弱性が発生しています。
このプラグインは、豊富な機能でWordpressの記事に写真を掲載できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン1.8.8以上への更新によって塞ぐことができます。
その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- Broken Link CheckerにてXSS
- Icegram ExpressにてSQLI
- Easy WP SMTPにてFILE DELETIONおよびTRAVERSALおよびRCE
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで67件、2位がCSRFで18件、3位がSQLiで15件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2022年11月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表内で「脆弱性分類」および「発見されたVer.」が重複していた「脆弱性のある本体・プラグイン・テーマの名称」につきましては1件の脆弱性として記載しています。
表:2022年11月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| テーマ | IDOR | Workreap – Freelance Marketplace and Directory | 2.6.3未満 |
| テーマ | OBJECT INJECTION | Betheme | 26.6未満 |
| テーマ | XSS | BeTheme | 26.6.3未満 |
| テーマ | NO AUTHORISATION | Theme and plugin translation for Polylang | 3.2.17未満 |
| プラグイン | NO AUTHORISATION | WatchTowerHQ | 3.6.16未満 |
| プラグイン | NO AUTHORISATION | Permalink Manager Lite | 2.2.20.1未満 |
| プラグイン | XSS | Salat Times | 3.2.2未満 |
| プラグイン | SQLI | OWM Weather | 5.6.9未満 |
| プラグイン | XSS | Jeeng Push Notifications | 2.0.4未満 |
| プラグイン | XSS | Video Thumbnails | 2.12.3以下 |
| プラグイン | XSS | Font Awesome 4 Menus | 4.7.0以下 |
| プラグイン | XSS | AgentEasy Properties | 1.0.4以下 |
| プラグイン | XSS | AM-HiLi | 1.0以下 |
| プラグイン | XSS | 4ECPS Web Forms | 0.2.17以下 |
| プラグイン | XSS | Beautiful Cookie Consent Banner | 2.9.1未満 |
| プラグイン | XSS | Analytics for WP | 1.5.1以下 |
| プラグイン | XSS | Google Forms | 0.95以下 |
| プラグイン | XSS | Fancier Author Box by ThematoSoup | 1.4以下 |
| プラグイン | XSS | reCAPTCHA | 1.6以下 |
| プラグイン | XSS | Image Hover Effects Css3 | 4.5以下 |
| プラグイン | XSS | Find and Replace All | 1.3未満 |
| プラグイン | CSRF’ | Find and Replace All | 1.3以下 |
| プラグイン | CSRF’ | VR Calendar | 2.3.4未満 |
| プラグイン | CSRF’ | Showing URL in QR Code | 0.0.1以下 |
| プラグイン | XSS | Donations via PayPal | 1.9.9未満 |
| プラグイン | XSS | WP Admin UI Customize | 1.5.13未満 |
| プラグイン | SQLI | HTML Forms | 1.3.25未満 |
| プラグイン | OBJECT INJECTION | Checkout Field Editor for WooCommerce | 1.8.0未満 |
| プラグイン | IDOR | Awesome Support | 6.1.2未満 |
| プラグイン | SQLI | WPSmartContracts | 1.3.12未満 |
| プラグイン | SQLI | WP User Merger | 1.5.3未満 |
| プラグイン | CSRF | Testimonial Slider | 1.3.1以下 |
| プラグイン | NO AUTHORISATION | LoginPress | 1.6.3未満 |
| プラグイン | XSS | WP OAuth Server | 4.2.2未満 |
| プラグイン | CSRF | 3DPrint | 3.5.4.7以下 |
| プラグイン | RCE | Theme-Demo-Importer | 1.1.1未満 |
| プラグイン | NO AUTHORISATION | Blog2Social | 6.9.12未満 |
| プラグイン | XSS | Salon Booking System | 7.9.4未満 |
| プラグイン | SQLI | Form Vibes | 1.4.5未満 |
| プラグイン | CSV INJECTION | Export customers list CSV for WooCommerce | 2.0.69未満 |
| プラグイン | XSS | Seed Social | 2.0.4未満 |
| プラグイン | SQLI | WP CSV Exporter | 1.3.7未満 |
| プラグイン | XSS | Simple Video Embedder | 2.2以下 |
| プラグイン | CSRF | WPML | 4.5.14未満 |
| プラグイン | NO AUTHORISATION | WPML | 4.5.11未満 |
| プラグイン | UPLOAD | wpForo Forum | 2.1.0未満 |
| プラグイン | CSRF | REST API Authentication | 2.4.1未満 |
| プラグイン | BYPASS | Better Messages | 1.9.10.71未満 |
| プラグイン | NO AUTHORISATION | WPML | 4.5.11未満 |
| プラグイン | XSS | WP Page Builder | 1.2.8以下 |
| プラグイン | XSS | Uji Countdown | 2.2以下 |
| プラグイン | XSS | WPUpper Share Buttons | 3.42以下 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Clerk | 4.0.0未満 |
| プラグイン | XSS | Add Comments | 1.0.1以下 |
| プラグイン | XSS | Advanced WP Columns | 2.0.6以下 |
| プラグイン | CSRF | WP OAuth Server | 3.4.2未満 |
| プラグイン | FILE DOWNLOAD | S2W – Import Shopify to WooCommerce | 1.1.13未満 |
| プラグイン | UPLOAD | PostmagThemes Demo | 1.0.8未満 |
| プラグイン | XSS | Broken Link Checker | 1.11.20未満 |
| プラグイン | CSRF | AdRotate Banner Manager | 5.9.1未満 |
| プラグイン | SQLI | Chaty | 3.0.3未満 |
| プラグイン | SQLI | Comic Book Management System | 2.2.0未満 |
| プラグイン | CSRF | Advanced Import | 1.3.8未満 |
| プラグイン | CSRF | Becustom | 1.0.5.3未満 |
| プラグイン | INCORRECT AUTHORISATION | Transposh WordPress Translation | 1.0.8以下 |
| プラグイン | XSS | WP Affiliate Platform | 6.4.0未満 |
| プラグイン | CSRF | WP Affiliate Platform | 6.4.0未満 |
| プラグイン | CSRF | Follow Me Plugin | 3.1.1以下 |
| プラグイン | XSS | WordPress Countdown Widget | 3.1.9.3未満 |
| プラグイン | XSS | Feed Them Social | 3.0.1未満 |
| プラグイン | CSRF | Feed Them Social | 3.0.1未満 |
| プラグイン | IDOR | TeraWallet – For WooCommerce | 1.4.4未満 |
| プラグイン | XSS | Photospace Gallery | 2.3.5以下 |
| プラグイン | XSS | Helloprint | 1.4.7未満 |
| プラグイン | XSS | Easy Form Builder | 3.4.0未満 |
| プラグイン | XSS | Image Hover Effects | 5.3以下 |
| プラグイン | NO AUTHORISATION | Donation Button | 4.0.0以下 |
| プラグイン | XSS | Donation Button | 4.0.0以下 |
| プラグイン | XSS | WooCommerce Shipping – DPD baltic | 1.2.11未満 |
| プラグイン | INCORRECT AUTHORISATION | SVG Support | 2.5-2.5.1 |
| プラグイン | CSRF | Permalink Manager Lite | 2.2.20.2未満 |
| プラグイン | IDOR | Directorist | 7.4.2.2未満 |
| プラグイン | XSS | GetYourGuide Ticketing | 1.0.4未満 |
| プラグイン | SQLI | Buddybadges | 1.0.0以下 |
| プラグイン | XSS | Essential Real Estate | 3.9.6未満 |
| プラグイン | XSS | Flat PM | 2.661以下 |
| プラグイン | OBJECT INJECTION | Shortcodes and extra features for Phlox theme | 2.10.8以下 |
| プラグイン | XSS | Ultimate Tables | 1.6.5以下 |
| プラグイン | XSS | News Announcement Scroll | 9.0.0未満 |
| プラグイン | CSV INJECTION | ProfileGrid | 5.1.8未満 |
| プラグイン | XSS | Ezoic | 2.8.9未満 |
| プラグイン | CSV INJECTION | Export Users With Meta | 0.6.10以下 |
| プラグイン | XSS | Anthologize | 0.8.1未満 |
| プラグイン | XSS | Chameleon | 1.4.4未満 |
| プラグイン | XSS | iFeature Slider | 1.2以下 |
| プラグイン | INCORRECT AUTHORISATION | Crowdsignal Dashboard | 3.0.10未満 |
| プラグイン | CSRF | wpForo Forum | 2.1.0未満 |
| プラグイン | NO AUTHORISATION | WooSwipe WooCommerce Gallery | 2.0.1以下 |
| プラグイン | ACCESS CONTROLS | WordPress Popular Posts | 6.1.0未満 |
| プラグイン | NO AUTHORISATION | Plugin for Google Reviews | 2.2.3未満 |
| プラグイン | XSS | Quizlord | 2.0以下 |
| プラグイン | SQLI | Icegram Express | 5.5.1未満 |
| プラグイン | UPLOAD | Booking Calendar | 3.2.2未満 |
| プラグイン | BYPASS | All In One WP Security & Firewall | 5.0.8未満 |
| プラグイン | NO AUTHORISATION | WooCommerce Shipping – DPD baltic | 1.2.11以下 |
| プラグイン | XSS | Jetpack CRM | 5.4.3未満 |
| プラグイン | XSS | Livemesh Addons for Elementor | 7.2.4未満 |
| プラグイン | OBJECT INJECTION | Cooked Pro | 1.7.5.7未満 |
| プラグイン | CSRF | Booster for WooCommerce | – |
| プラグイン | UPLOAD | Listingo | 3.2.7未満 |
| プラグイン | XSS | Welcart e-Commerce | 2.8.4未満 |
| プラグイン | NO AUTHORISATION | Welcart e-Commerce | 2.8.4未満 |
| プラグイン | UPLOAD | Motors – Car Dealer, Classifieds & Listing | 1.4.4未満 |
| プラグイン | SQLI | Dokan | 3.7.6未満 |
| プラグイン | UPLOAD | User Registration | 2.2.4.1未満 |
| プラグイン | INCORRECT AUTHORISATION | Car Dealer | 3.05未満 |
| プラグイン | INCORRECT AUTHORISATION | AntiHacker | 4.20未満 |
| プラグイン | INCORRECT AUTHORISATION | WPTools | 3.43未満 |
| プラグイン | INCORRECT AUTHORISATION | WP Memory | 2.46未満 |
| プラグイン | INCORRECT AUTHORISATION | StopBadBots | 7.24未満 |
| プラグイン | XSS | Responsive Lightbox2 | 1.0.4未満 |
| プラグイン | XSS | WP Stripe Checkout | 1.2.2.21未満 |
| プラグイン | XSS | Videojs HTML5 Player | 1.1.9未満 |
| プラグイン | XSS | Flowplayer Video Player | 1.0.5未満 |
| プラグイン | XSS | Checkout for PayPal | 1.0.14未満 |
| プラグイン | XSS | Easy Video Player | 1.2.2.3未満 |
| プラグイン | FILE DOWNLOAD | SMSA Shipping for WooCommerce | 1.0.5未満 |
| プラグイン | CSRF | All-In-One Security | 5.1.1未満 |
| プラグイン | XSS | Contest Gallery | 14.0.0未満 |
| プラグイン | RACE CONDITION | WP ULike | 4.6.5未満 |
| プラグイン | IDOR | wpForo Forum | 2.0.6未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Syncee – Global Dropshipping | 1.0.10未満 |
| プラグイン | XSS | Popup Manager | 1.6.6以下 |
| プラグイン | FILE DOWNLOAD | Wholesale Market for WooCommerce | 1.0.7未満 |
| プラグイン | FILE DOWNLOAD | Wholesale Market for WooCommerce | 1.0.8未満 |
| プラグイン | XSS | External Media | 1.0.36未満 |
| プラグイン | NO AUTHORISATION | Popup Manager | 1.6.6以下 |
| プラグイン | LFI | InPost Gallery | 2.1.4.1未満 |
| プラグイン | XSS | Photo Gallery | 1.8.3未満 |
| プラグイン | NO AUTHORISATION | Pie Register | 3.8.1.3未満 |
| プラグイン | NO AUTHORISATION | Directorist | 7.4.4未満 |
| プラグイン | SQLI | JoomSport | 5.2.8未満 |
| プラグイン | UPLOAD | JobBoardWP | 1.2.2未満 |
| プラグイン | CSRF | Manage Notification E-mails | 1.8.3未満 |
| プラグイン | UPLOAD | SEO Plugin by Squirrly SEO | 12.1.11未満 |
| プラグイン | CSRF | Better Click to Tweet | 5.10.4未満 |
| プラグイン | NO AUTHORISATION | WP Shamsi | 4.1.1未満 |
| プラグイン | CSV INJECTION | WP CSV Exporter | 1.3.7未満 |
| プラグイン | FILE DELETION | Simple:Press | 6.8.1未満 |
| プラグイン | XSS | Simple:Press | 6.8.1未満 |
| プラグイン | TRAVERSAL | Simple:Press | 6.8.1未満 |
| プラグイン | CROSS FRAME SCRIPTING | Quiz and Survey Master | 8.0.5未満 |
| プラグイン | CONTENT INJECTION | Quiz and Survey Master | 8.0.5未満 |
| プラグイン | CROSS FRAME SCRIPTING | Appointment Hour Booking | 1.3.73未満 |
| プラグイン | BYPASS | Appointment Hour Booking | 1.3.73未満 |
| プラグイン | CSV INJECTION | Appointment Hour Booking | 1.3.73未満 |
| プラグイン | CSRF | Advanced Coupons for WooCommerce Coupons | 4.5.0.1未満 |
| プラグイン | XSS | Custom Product Tabs for WooCommerce | 1.8.0未満 |
| プラグイン | XSS | Eventify | 2.1以下 |
| プラグイン | XSS | Paytium | 4.3.6以下 |
| プラグイン | SQLI | IWS – Geo Form Fields | 1.0以下 |
| プラグイン | XSS | Sliderby10Web | 1.2.53未満 |
| プラグイン | FILE DELETION | Easy WP SMTP | 1.5.2未満 |
| プラグイン | TRAVERSAL | Easy WP SMTP | 1.5.2未満 |
| プラグイン | RCE | Easy WP SMTP | 1.5.2未満 |