Pocket

WordPress 2023年1月_脆弱性レポート  2023/01/31

2022年12月度のWordPressに関する脆弱性レポートをお知らせします。

12月度全体の脆弱性報告件数としては206件であり、2022年11月度から34件増加しています。

個所別レポート

個所別の発生件数は、それぞれ本体が1件、プラグインが202件、テーマが3件でした。

本体に関しまして、今月は脆弱性が発生しています。

プラグインに関しましては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。

プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

また、テーマに関しまして今月も脆弱性が発生しています。

トピックス

プラグインに関しましては先月から35件増加し、202件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。

以下、有名プラグインについて詳述します。

一つ目に、アクティブインストール300万以上、総ダウンロード数1億4000万以上の人気プラグイン『MonsterInsights』にXSSの脆弱性が発生しています。

このプラグインはご利用のサイトにGoogleアナリティクスを簡単に導入できるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン8.12.1以上への更新によって塞ぐことができます。

二つ目に、アクティブインストール100万以上、総ダウンロード数3000万以上の人気プラグイン『Autoptimize』にSENSITIVE DATA DISCLOSUREの脆弱性が発生しています。

このプラグインはご利用のサイトの構築に使われるHTML・CSS・JavaScriptなどのソースコードを圧縮し、サイトの動作を高速化することができるプラグインです。

お使いの方は、バージョンの確認を実施することを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン3.1.5以上への更新によって塞ぐことができます。

その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

  • All In One WP Security & FirewallにてSENSITIVE DATA DISCLOSURE
  • WP StatisticsにてSQLI
  • LoginizerにてXSS
  • WPtouchにてUPLOADおよびOBJECT INJECTION

また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで111件、2位がSQLIで40件、3位がCSRFで10件でした。

トピックス

XSSの発生件数が一番多く、例月通りの傾向です。

脆弱性一覧

2022年12月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表内で「脆弱性分類」および「発見されたVer.」が重複していた「脆弱性のある本体・プラグイン・テーマの名称」につきましては1件の脆弱性として記載しています。

表:2022年12月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
本体 SSRF WP 6.1.1以下
テーマ IDOR Workreap 2.6.4未満
テーマ XSS Superio – Job Board 1.2.33未満
テーマ RCE Multiple themes
プラグイン XSS Google Apps Login 3.4.5未満
プラグイン CSRF Advanced Booking Calendar 1.7.1以下
プラグイン PRIVESC ARMember 5.6未満
プラグイン XSS Afterpay Gateway for WooCommerce 3.5.1未満
プラグイン XSS WP Google Review Slider 11.6未満
プラグイン XSS ImageInject 1.17以下
プラグイン XSS Simple Basic Contact Form 20221201未満
プラグイン CSRF Bulk Delete Users by Email 1.2以下
プラグイン XSS Bulk Delete Users by Email 1.2以下
プラグイン SQLI Plugin Logic 1.0.7以下
プラグイン CSRF Chained Quiz 1.3.2.5未満
プラグイン XSS Chained Quiz 1.3.2.4未満
プラグイン XSS Chained Quiz 1.3.2.3未満
プラグイン XSS Chained Quiz 1.3.2.1未満
プラグイン SQLI Advanced Booking Calendar 1.7.1以下
プラグイン XSS Supra CSV 4.0.3以下
プラグイン XSS Kwayy HTML Sitemap 4.0未満
プラグイン SQLI Contest Gallery 19.1.5.1未満
プラグイン SQLI Contest Gallery 19.1.5未満
プラグイン SQLI Contest Gallery Pro 19.1.5未満
プラグイン XSS Booster for WooCommerce
プラグイン UPLOAD Return Refund and Exchange For WooCommerce 4.0.9未満
プラグイン OBJECT INJECTION Stop Spammers Security 2022.6未満
プラグイン OBJECT INJECTION Welcart e-Commerce 2.8.6未満
プラグイン FILE DOWNLOAD Welcart e-Commerce 2.8.5未満
プラグイン SENSITIVE DATA DISCLOSURE Autoptimize 3.1.0未満
プラグイン XSS GD bbPress Attachments 4.4未満
プラグイン XSS Loginizer 1.7.6未満
プラグイン CSRF Multiple YITH WooCommerce plugins
プラグイン XSS WP-Ban 1.69.1未満
プラグイン XSS All-in-One Addons for Elementor – WidgetKit 2.4.4未満
プラグイン XSS WordPress Filter Gallery Plugin 0.1.6未満
プラグイン XSS WP Smart Import 1.0.3未満
プラグイン UPLOAD YITH WooCommerce Gift Cards 3.20.0未満
プラグイン SQLI Build App Online 1.0.19未満
プラグイン XSS WP User 7.0以下
プラグイン XSS WP Social Sharing 2.2以下
プラグイン XSS Login with Cognito 1.4.9未満
プラグイン IDOR BookingPress 1.0.31未満
プラグイン XSS Panda Pods Repeater Field 1.5.4未満
プラグイン XSS Product list Widget for Woocommerce 1.0以下
プラグイン OBJECT INJECTION White Label CMS 2.5未満
プラグイン SQLI Joy Of Text Lite 2.3.1未満
プラグイン SQLI Qe SEO Handyman 1.0以下
プラグイン XSS Team Members 5.2.1未満
プラグイン OBJECT INJECTION Custom Field Template 2.5.8未満
プラグイン SQLI LetsRecover 1.1.0以下
プラグイン SQLI WP RSS By Publishers 0.1以下
プラグイン XSS WP-Lister Lite for Amazon 2.4.4未満
プラグイン SQLI WP User 7.0以下
プラグイン SQLI Cryptocurrency Widgets Pack 1.8.1以下
プラグイン DOS Authenticator 1.3.1未満
プラグイン SQLI Visual Email Designer for WooCommerce 1.7.2未満
プラグイン XSS Image Optimizer, Resizer and CDN 6.8.1未満
プラグイン BYPASS WP Cerber 9.3.3未満
プラグイン SQLI Multimedial Images 1.0b以下
プラグイン SQLI Web Invoice 2.1.3以下
プラグイン XSS Quote-O-Matic 1.0.5以下
プラグイン FILE DOWNLOAD Wholesale Market 2.2.1未満
プラグイン TRAVERSAL Wholesale Market for WooCommerce 2.0.0未満
プラグイン SQLI WP AutoComplete Search 1.0.4以下
プラグイン PRIVESC iubenda 3.3.3未満
プラグイン IDOR WPQA 5.9.3未満
プラグイン OBJECT INJECTION WP Custom Admin Interface 7.29未満
プラグイン XSS Image Hover Effects Ultimate 9.8.1-9.8.4
プラグイン XSS WP Table Reloaded 1.9.4以下
プラグイン NO AUTHORISATION Mega Addons For WPBakery Page Builder 4.2.7以下
プラグイン XSS Permalink Manager Lite 2.3.0未満
プラグイン XSS Sunshine Photo Cart 2.9.15未満
プラグイン XSS WP CSV 1.8.0.0以下
プラグイン XSS Post Status Notifier Lite 1.10.1未満
プラグイン NO AUTHORISATION Royal Elementor Addons 1.3.56未満
プラグイン NO AUTHORISATION Royal Elementor Addons 1.3.56未満
プラグイン XSS 404 to Start 1.6.1以下
プラグイン ACCESS CONTROLS ActiveCampaign for WooCommerce 1.9.8未満
プラグイン XSS Vision Interactive For WordPress 1.5.4未満
プラグイン XSS iPages Flipbook For WordPress 1.4.7未満
プラグイン XSS ImageLinks Interactive Image Builder for WordPress 1.5.4未満
プラグイン XSS iPanorama 360 WordPress Virtual Tour Builder 1.6.30未満
プラグイン OBJECT INJECTION Starter Templates by Kadence WP 1.2.17未満
プラグイン XSS Logo Slider 3.6.0未満
プラグイン XSS Multi Step Form 1.7.8未満
プラグイン XSS Bg Bible References 3.8.14以下
プラグイン CSRF Mautic Integration For WooCommerce 1.0.3未満
プラグイン UPLOAD WPtouch 4.3.45未満
プラグイン XSS WP Recipe Maker 8.6.1未満
プラグイン XSS Table of Contents Plus 2212未満
プラグイン XSS Jetpack CRM 5.5未満
プラグイン XSS Slimstat Analytics 4.9.3未満
プラグイン OBJECT INJECTION WPtouch 4.3.45未満
プラグイン XSS Sidebar Widgets by CodeLights 1.4以下
プラグイン XSS WordPress Events Calendar Plugin 1.4.5未満
プラグイン XSS WOOCS 1.3.9.3未満
プラグイン XSS WOOCS 1.3.9.4未満
プラグイン XSS Metricool 1.18未満
プラグイン XSS Download Manager 3.2.62未満
プラグイン XSS Smash Balloon Social Post Feed 4.1.6未満
プラグイン XSS Mesmerize Companion 1.6.135未満
プラグイン XSS Ibtana – WordPress Website Builder 1.1.8.8未満
プラグイン XSS Page Scroll To ID 1.7.6未満
プラグイン XSS Seriously Simple Podcasting 2.19.1未満
プラグイン XSS WCK 2.3.3未満
プラグイン TRAVERSAL Images Optimize and Upload CF7 2.1.4以下
プラグイン XSS WP Attachments 5.0.5以下
プラグイン XSS Simple Membership 4.2.2未満
プラグイン XSS WP Video Lightbox 1.9.7未満
プラグイン XSS Sidebar Widgets by CodeLights 1.4以下
プラグイン XSS Click to Chat 3.18.1未満
プラグイン SQLI Fontsy 1.8.6以下
プラグイン XSS Carousel, Slider, Gallery by WP Carousel 2.5.3未満
プラグイン XSS Font Awesome 4.3.2未満
プラグイン XSS Real Testimonials 2.6.0未満
プラグイン XSS 3D FlipBook 1.13.3未満
プラグイン CSRF Subscribe2 10.38未満
プラグイン XSS Real Cookie Banner 3.4.10未満
プラグイン XSS MashShare 3.8.7未満
プラグイン XSS Welcart e-Commerce 2.8.9未満
プラグイン XSS Greenshift – animation and page builder blocks 4.8.9未満
プラグイン XSS Show All Comments 7.0.1未満
プラグイン RCE User Post Gallery 2.19以下
プラグイン CSRF Tickera 3.5.1.0未満
プラグイン XSS RSSImport 4.6.1以下
プラグイン XSS Super Socializer 7.13.44未満
プラグイン XSS ProfilePress 4.5.1未満
プラグイン XSS WP Spell Check 9.13未満
プラグイン XSS MonsterInsights 8.9.1未満
プラグイン XSS Link Library 7.4.1未満
プラグイン XSS Themify Portfolio Post 1.2.1未満
プラグイン XSS ConvertKit 2.0.5未満
プラグイン XSS Easy Accordion 2.2.0未満
プラグイン SQLI Conditional Payment Methods for WooCommerce 1.0以下
プラグイン XSS Easy Bootstrap Shortcode 4.5.4以下
プラグイン XSS Store Locator WordPress 1.4.9未満
プラグイン XSS Sassy Social Share 3.3.45未満
プラグイン XSS Easy Social Feed – Social Photos Gallery – Post Feed – Like Box 6.4.0未満
プラグイン XSS Pardakht Delkhah 2.9.3未満
プラグイン XSS WordPress Simple Shopping Cart 4.6.2未満
プラグイン XSS Landing Page Builder 1.4.9.9未満
プラグイン XSS Easy Appointments 3.11.2未満
プラグイン XSS Page-list 5.3未満
プラグイン XSS Sitemap 4.4未満
プラグイン XSS Login Logout Menu 1.4.0未満
プラグイン XSS Rate my Post – WP Rating System 3.3.9未満
プラグイン OBJECT INJECTION Google Analyticator 6.5.6未満
プラグイン XSS EU Cookie Law 3.1.6以下
プラグイン SQLI CBX Petition for WordPress 1.0.3以下
プラグイン BYPASS WP Limit Login Attempts 2.6.4以下
プラグイン BYPASS FluentAuth 1.0.2未満
プラグイン XSS Compact WP Audio Player 1.9.8未満
プラグイン XSS Search & Filter 1.2.16未満
プラグイン PRIVESC Login as User or Customer 3.3未満
プラグイン SQLI WP Statistics 13.2.9未満
プラグイン SENSITIVE DATA DISCLOSURE All In One WP Security & Firewall 5.1.3未満
プラグイン XSS HashBar – WordPress Notification Bar 1.3.6未満
プラグイン XSS Mongoose Page Plugin 1.9.0未満
プラグイン XSS Meteor Slides 1.5.6以下
プラグイン XSS Collapse-O-Matic 1.8.3未満
プラグイン XSS ShiftNav – Responsive Mobile Menu 1.7.2未満
プラグイン XSS OneClick Chat to Order 1.0.4.2未満
プラグイン XSS Print-O-Matic 2.1.8未満
プラグイン XSS Structured Content 1.5.1未満
プラグイン XSS WP Popups 2.1.4.8未満
プラグイン CSRF BruteBank – WP Security & Firewall 1.9未満
プラグイン AUTHBYPASS User Verification 1.0.94未満
プラグイン XSS Word Balloon 4.19.3未満
プラグイン XSS Product Slider for WooCommerce 2.6.4未満
プラグイン ACCESS CONTROLS Optimize images ALT Text (alt tag) & names for SEO using AI 2.0.8未満
プラグイン XSS WPZOOM Portfolio 1.2.2未満
プラグイン XSS Video Conferencing with Zoom 4.0.10未満
プラグイン XSS Top 10 3.2.3未満
プラグイン XSS Genesis Columns Advanced 2.0.4未満
プラグイン XSS 10WebMapBuilder 1.0.72未満
プラグイン XSS Content Control 1.1.10未満
プラグイン XSS WP Google My Business Auto Publish 3.4未満
プラグイン XSS GeoDirectory 2.2.22未満
プラグイン XSS GS Logo Slider 3.3.8未満