WordPress 2023年1月_脆弱性レポート 2023/01/31
2022年12月度のWordPressに関する脆弱性レポートをお知らせします。
12月度全体の脆弱性報告件数としては206件であり、2022年11月度から34件増加しています。
個所別レポート
個所別の発生件数は、それぞれ本体が1件、プラグインが202件、テーマが3件でした。
本体に関しまして、今月は脆弱性が発生しています。
プラグインに関しましては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
また、テーマに関しまして今月も脆弱性が発生しています。
トピックス
プラグインに関しましては先月から35件増加し、202件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール300万以上、総ダウンロード数1億4000万以上の人気プラグイン『MonsterInsights』にXSSの脆弱性が発生しています。
このプラグインはご利用のサイトにGoogleアナリティクスを簡単に導入できるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン8.12.1以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール100万以上、総ダウンロード数3000万以上の人気プラグイン『Autoptimize』にSENSITIVE DATA DISCLOSUREの脆弱性が発生しています。
このプラグインはご利用のサイトの構築に使われるHTML・CSS・JavaScriptなどのソースコードを圧縮し、サイトの動作を高速化することができるプラグインです。
お使いの方は、バージョンの確認を実施することを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.1.5以上への更新によって塞ぐことができます。
その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- All In One WP Security & FirewallにてSENSITIVE DATA DISCLOSURE
- WP StatisticsにてSQLI
- LoginizerにてXSS
- WPtouchにてUPLOADおよびOBJECT INJECTION
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで111件、2位がSQLIで40件、3位がCSRFで10件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2022年12月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表内で「脆弱性分類」および「発見されたVer.」が重複していた「脆弱性のある本体・プラグイン・テーマの名称」につきましては1件の脆弱性として記載しています。
表:2022年12月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | SSRF | WP | 6.1.1以下 |
| テーマ | IDOR | Workreap | 2.6.4未満 |
| テーマ | XSS | Superio – Job Board | 1.2.33未満 |
| テーマ | RCE | Multiple themes | – |
| プラグイン | XSS | Google Apps Login | 3.4.5未満 |
| プラグイン | CSRF | Advanced Booking Calendar | 1.7.1以下 |
| プラグイン | PRIVESC | ARMember | 5.6未満 |
| プラグイン | XSS | Afterpay Gateway for WooCommerce | 3.5.1未満 |
| プラグイン | XSS | WP Google Review Slider | 11.6未満 |
| プラグイン | XSS | ImageInject | 1.17以下 |
| プラグイン | XSS | Simple Basic Contact Form | 20221201未満 |
| プラグイン | CSRF | Bulk Delete Users by Email | 1.2以下 |
| プラグイン | XSS | Bulk Delete Users by Email | 1.2以下 |
| プラグイン | SQLI | Plugin Logic | 1.0.7以下 |
| プラグイン | CSRF | Chained Quiz | 1.3.2.5未満 |
| プラグイン | XSS | Chained Quiz | 1.3.2.4未満 |
| プラグイン | XSS | Chained Quiz | 1.3.2.3未満 |
| プラグイン | XSS | Chained Quiz | 1.3.2.1未満 |
| プラグイン | SQLI | Advanced Booking Calendar | 1.7.1以下 |
| プラグイン | XSS | Supra CSV | 4.0.3以下 |
| プラグイン | XSS | Kwayy HTML Sitemap | 4.0未満 |
| プラグイン | SQLI | Contest Gallery | 19.1.5.1未満 |
| プラグイン | SQLI | Contest Gallery | 19.1.5未満 |
| プラグイン | SQLI | Contest Gallery Pro | 19.1.5未満 |
| プラグイン | XSS | Booster for WooCommerce | – |
| プラグイン | UPLOAD | Return Refund and Exchange For WooCommerce | 4.0.9未満 |
| プラグイン | OBJECT INJECTION | Stop Spammers Security | 2022.6未満 |
| プラグイン | OBJECT INJECTION | Welcart e-Commerce | 2.8.6未満 |
| プラグイン | FILE DOWNLOAD | Welcart e-Commerce | 2.8.5未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Autoptimize | 3.1.0未満 |
| プラグイン | XSS | GD bbPress Attachments | 4.4未満 |
| プラグイン | XSS | Loginizer | 1.7.6未満 |
| プラグイン | CSRF | Multiple YITH WooCommerce plugins | – |
| プラグイン | XSS | WP-Ban | 1.69.1未満 |
| プラグイン | XSS | All-in-One Addons for Elementor – WidgetKit | 2.4.4未満 |
| プラグイン | XSS | WordPress Filter Gallery Plugin | 0.1.6未満 |
| プラグイン | XSS | WP Smart Import | 1.0.3未満 |
| プラグイン | UPLOAD | YITH WooCommerce Gift Cards | 3.20.0未満 |
| プラグイン | SQLI | Build App Online | 1.0.19未満 |
| プラグイン | XSS | WP User | 7.0以下 |
| プラグイン | XSS | WP Social Sharing | 2.2以下 |
| プラグイン | XSS | Login with Cognito | 1.4.9未満 |
| プラグイン | IDOR | BookingPress | 1.0.31未満 |
| プラグイン | XSS | Panda Pods Repeater Field | 1.5.4未満 |
| プラグイン | XSS | Product list Widget for Woocommerce | 1.0以下 |
| プラグイン | OBJECT INJECTION | White Label CMS | 2.5未満 |
| プラグイン | SQLI | Joy Of Text Lite | 2.3.1未満 |
| プラグイン | SQLI | Qe SEO Handyman | 1.0以下 |
| プラグイン | XSS | Team Members | 5.2.1未満 |
| プラグイン | OBJECT INJECTION | Custom Field Template | 2.5.8未満 |
| プラグイン | SQLI | LetsRecover | 1.1.0以下 |
| プラグイン | SQLI | WP RSS By Publishers | 0.1以下 |
| プラグイン | XSS | WP-Lister Lite for Amazon | 2.4.4未満 |
| プラグイン | SQLI | WP User | 7.0以下 |
| プラグイン | SQLI | Cryptocurrency Widgets Pack | 1.8.1以下 |
| プラグイン | DOS | Authenticator | 1.3.1未満 |
| プラグイン | SQLI | Visual Email Designer for WooCommerce | 1.7.2未満 |
| プラグイン | XSS | Image Optimizer, Resizer and CDN | 6.8.1未満 |
| プラグイン | BYPASS | WP Cerber | 9.3.3未満 |
| プラグイン | SQLI | Multimedial Images | 1.0b以下 |
| プラグイン | SQLI | Web Invoice | 2.1.3以下 |
| プラグイン | XSS | Quote-O-Matic | 1.0.5以下 |
| プラグイン | FILE DOWNLOAD | Wholesale Market | 2.2.1未満 |
| プラグイン | TRAVERSAL | Wholesale Market for WooCommerce | 2.0.0未満 |
| プラグイン | SQLI | WP AutoComplete Search | 1.0.4以下 |
| プラグイン | PRIVESC | iubenda | 3.3.3未満 |
| プラグイン | IDOR | WPQA | 5.9.3未満 |
| プラグイン | OBJECT INJECTION | WP Custom Admin Interface | 7.29未満 |
| プラグイン | XSS | Image Hover Effects Ultimate | 9.8.1-9.8.4 |
| プラグイン | XSS | WP Table Reloaded | 1.9.4以下 |
| プラグイン | NO AUTHORISATION | Mega Addons For WPBakery Page Builder | 4.2.7以下 |
| プラグイン | XSS | Permalink Manager Lite | 2.3.0未満 |
| プラグイン | XSS | Sunshine Photo Cart | 2.9.15未満 |
| プラグイン | XSS | WP CSV | 1.8.0.0以下 |
| プラグイン | XSS | Post Status Notifier Lite | 1.10.1未満 |
| プラグイン | NO AUTHORISATION | Royal Elementor Addons | 1.3.56未満 |
| プラグイン | NO AUTHORISATION | Royal Elementor Addons | 1.3.56未満 |
| プラグイン | XSS | 404 to Start | 1.6.1以下 |
| プラグイン | ACCESS CONTROLS | ActiveCampaign for WooCommerce | 1.9.8未満 |
| プラグイン | XSS | Vision Interactive For WordPress | 1.5.4未満 |
| プラグイン | XSS | iPages Flipbook For WordPress | 1.4.7未満 |
| プラグイン | XSS | ImageLinks Interactive Image Builder for WordPress | 1.5.4未満 |
| プラグイン | XSS | iPanorama 360 WordPress Virtual Tour Builder | 1.6.30未満 |
| プラグイン | OBJECT INJECTION | Starter Templates by Kadence WP | 1.2.17未満 |
| プラグイン | XSS | Logo Slider | 3.6.0未満 |
| プラグイン | XSS | Multi Step Form | 1.7.8未満 |
| プラグイン | XSS | Bg Bible References | 3.8.14以下 |
| プラグイン | CSRF | Mautic Integration For WooCommerce | 1.0.3未満 |
| プラグイン | UPLOAD | WPtouch | 4.3.45未満 |
| プラグイン | XSS | WP Recipe Maker | 8.6.1未満 |
| プラグイン | XSS | Table of Contents Plus | 2212未満 |
| プラグイン | XSS | Jetpack CRM | 5.5未満 |
| プラグイン | XSS | Slimstat Analytics | 4.9.3未満 |
| プラグイン | OBJECT INJECTION | WPtouch | 4.3.45未満 |
| プラグイン | XSS | Sidebar Widgets by CodeLights | 1.4以下 |
| プラグイン | XSS | WordPress Events Calendar Plugin | 1.4.5未満 |
| プラグイン | XSS | WOOCS | 1.3.9.3未満 |
| プラグイン | XSS | WOOCS | 1.3.9.4未満 |
| プラグイン | XSS | Metricool | 1.18未満 |
| プラグイン | XSS | Download Manager | 3.2.62未満 |
| プラグイン | XSS | Smash Balloon Social Post Feed | 4.1.6未満 |
| プラグイン | XSS | Mesmerize Companion | 1.6.135未満 |
| プラグイン | XSS | Ibtana – WordPress Website Builder | 1.1.8.8未満 |
| プラグイン | XSS | Page Scroll To ID | 1.7.6未満 |
| プラグイン | XSS | Seriously Simple Podcasting | 2.19.1未満 |
| プラグイン | XSS | WCK | 2.3.3未満 |
| プラグイン | TRAVERSAL | Images Optimize and Upload CF7 | 2.1.4以下 |
| プラグイン | XSS | WP Attachments | 5.0.5以下 |
| プラグイン | XSS | Simple Membership | 4.2.2未満 |
| プラグイン | XSS | WP Video Lightbox | 1.9.7未満 |
| プラグイン | XSS | Sidebar Widgets by CodeLights | 1.4以下 |
| プラグイン | XSS | Click to Chat | 3.18.1未満 |
| プラグイン | SQLI | Fontsy | 1.8.6以下 |
| プラグイン | XSS | Carousel, Slider, Gallery by WP Carousel | 2.5.3未満 |
| プラグイン | XSS | Font Awesome | 4.3.2未満 |
| プラグイン | XSS | Real Testimonials | 2.6.0未満 |
| プラグイン | XSS | 3D FlipBook | 1.13.3未満 |
| プラグイン | CSRF | Subscribe2 | 10.38未満 |
| プラグイン | XSS | Real Cookie Banner | 3.4.10未満 |
| プラグイン | XSS | MashShare | 3.8.7未満 |
| プラグイン | XSS | Welcart e-Commerce | 2.8.9未満 |
| プラグイン | XSS | Greenshift – animation and page builder blocks | 4.8.9未満 |
| プラグイン | XSS | Show All Comments | 7.0.1未満 |
| プラグイン | RCE | User Post Gallery | 2.19以下 |
| プラグイン | CSRF | Tickera | 3.5.1.0未満 |
| プラグイン | XSS | RSSImport | 4.6.1以下 |
| プラグイン | XSS | Super Socializer | 7.13.44未満 |
| プラグイン | XSS | ProfilePress | 4.5.1未満 |
| プラグイン | XSS | WP Spell Check | 9.13未満 |
| プラグイン | XSS | MonsterInsights | 8.9.1未満 |
| プラグイン | XSS | Link Library | 7.4.1未満 |
| プラグイン | XSS | Themify Portfolio Post | 1.2.1未満 |
| プラグイン | XSS | ConvertKit | 2.0.5未満 |
| プラグイン | XSS | Easy Accordion | 2.2.0未満 |
| プラグイン | SQLI | Conditional Payment Methods for WooCommerce | 1.0以下 |
| プラグイン | XSS | Easy Bootstrap Shortcode | 4.5.4以下 |
| プラグイン | XSS | Store Locator WordPress | 1.4.9未満 |
| プラグイン | XSS | Sassy Social Share | 3.3.45未満 |
| プラグイン | XSS | Easy Social Feed – Social Photos Gallery – Post Feed – Like Box | 6.4.0未満 |
| プラグイン | XSS | Pardakht Delkhah | 2.9.3未満 |
| プラグイン | XSS | WordPress Simple Shopping Cart | 4.6.2未満 |
| プラグイン | XSS | Landing Page Builder | 1.4.9.9未満 |
| プラグイン | XSS | Easy Appointments | 3.11.2未満 |
| プラグイン | XSS | Page-list | 5.3未満 |
| プラグイン | XSS | Sitemap | 4.4未満 |
| プラグイン | XSS | Login Logout Menu | 1.4.0未満 |
| プラグイン | XSS | Rate my Post – WP Rating System | 3.3.9未満 |
| プラグイン | OBJECT INJECTION | Google Analyticator | 6.5.6未満 |
| プラグイン | XSS | EU Cookie Law | 3.1.6以下 |
| プラグイン | SQLI | CBX Petition for WordPress | 1.0.3以下 |
| プラグイン | BYPASS | WP Limit Login Attempts | 2.6.4以下 |
| プラグイン | BYPASS | FluentAuth | 1.0.2未満 |
| プラグイン | XSS | Compact WP Audio Player | 1.9.8未満 |
| プラグイン | XSS | Search & Filter | 1.2.16未満 |
| プラグイン | PRIVESC | Login as User or Customer | 3.3未満 |
| プラグイン | SQLI | WP Statistics | 13.2.9未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | All In One WP Security & Firewall | 5.1.3未満 |
| プラグイン | XSS | HashBar – WordPress Notification Bar | 1.3.6未満 |
| プラグイン | XSS | Mongoose Page Plugin | 1.9.0未満 |
| プラグイン | XSS | Meteor Slides | 1.5.6以下 |
| プラグイン | XSS | Collapse-O-Matic | 1.8.3未満 |
| プラグイン | XSS | ShiftNav – Responsive Mobile Menu | 1.7.2未満 |
| プラグイン | XSS | OneClick Chat to Order | 1.0.4.2未満 |
| プラグイン | XSS | Print-O-Matic | 2.1.8未満 |
| プラグイン | XSS | Structured Content | 1.5.1未満 |
| プラグイン | XSS | WP Popups | 2.1.4.8未満 |
| プラグイン | CSRF | BruteBank – WP Security & Firewall | 1.9未満 |
| プラグイン | AUTHBYPASS | User Verification | 1.0.94未満 |
| プラグイン | XSS | Word Balloon | 4.19.3未満 |
| プラグイン | XSS | Product Slider for WooCommerce | 2.6.4未満 |
| プラグイン | ACCESS CONTROLS | Optimize images ALT Text (alt tag) & names for SEO using AI | 2.0.8未満 |
| プラグイン | XSS | WPZOOM Portfolio | 1.2.2未満 |
| プラグイン | XSS | Video Conferencing with Zoom | 4.0.10未満 |
| プラグイン | XSS | Top 10 | 3.2.3未満 |
| プラグイン | XSS | Genesis Columns Advanced | 2.0.4未満 |
| プラグイン | XSS | 10WebMapBuilder | 1.0.72未満 |
| プラグイン | XSS | Content Control | 1.1.10未満 |
| プラグイン | XSS | WP Google My Business Auto Publish | 3.4未満 |
| プラグイン | XSS | GeoDirectory | 2.2.22未満 |
| プラグイン | XSS | GS Logo Slider | 3.3.8未満 |