Pocket

WordPress 2023年2月_脆弱性レポート  2023/02/28

2023年1月度のWordPressに関する脆弱性レポートをお知らせします。

1月度全体の脆弱性報告件数としては106件であり、2023年1月度から100件減少しています。

個所別レポート

個所別の発生件数は、それぞれ本体0件、プラグインが106件、テーマが0件でした。

本体に関しまして、今月は脆弱性が発生していません。

プラグインに関しましては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。

プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

また、テーマに関しまして今月は脆弱性が発生していません。

トピックス

プラグインに関しましては先月から96件減少し、106件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。

以下、有名プラグインについて詳述します。

一つ目に、アクティブインストール10万以上、総ダウンロード数700万以上の人気プラグイン『YARPP』にXSSの脆弱性が発生しています。

このプラグインは記事が表示されるときに記事の情報をもとに関連スコアを計算して、関連する記事を表示してくれるプラグインです。

お使いの方は、バージョンについての確認を推奨します。

本脆弱性は本記事掲載時点で修正についての情報などはありません。

二つ目に、アクティブインストール5万以上、総ダウンロード数500万以上の人気プラグイン『Google Analyticator』にOBJECT INJECTIONの脆弱性が発生しています。

このプラグインはアクセス解析のためにWordPressとGoogleアナリティクスを連携できるプラグインです。

お使いの方は、バージョンについての確認を推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン6.5.6以上への更新によって塞ぐことができます。

その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。

  • GiveWPにてXSS
  • Paid Memberships ProにてXSS
  • LearnPress PluginにてLFIおよびSQLI
  • Booster for WooCommerceにてCSRF

また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで73件、2位がCSRFで6件、3位がSQLiで5件でした。

トピックス

XSSの発生件数が一番多く、例月通りの傾向です。

脆弱性一覧

2023年1月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。

表内で「脆弱性分類」および「発見されたVer.」が重複していた「脆弱性のある本体・プラグイン・テーマの名称」につきましては1件の脆弱性として記載しています。

表:2023年1月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
プラグイン CSRF Booster for WooCommerce
プラグイン OBJECT INJECTION Google Analyticator 6.5.6未満
プラグイン XSS Portfolio for Elementor, Image Gallery & Post Grid | PowerFolio 2.3.1未満
プラグイン XSS PixCodes 2.3.7未満
プラグイン XSS Accordion Shortcodes 2.4.2以下
プラグイン XSS Simple Sitemap 3.5.8未満
プラグイン XSS Bold Timeline Lite 1.1.5未満
プラグイン XSS Icon Widget 1.3.0未満
プラグイン XSS Justified Gallery 1.7.1未満
プラグイン XSS MediaElement.js – HTML5 Video & Audio Player 4.2.8以下
プラグイン XSS CPT Bootstrap Carousel 1.12以下
プラグイン XSS Social Sharing Toolkit 2.6以下
プラグイン XSS Members Import 1.4.2以下
プラグイン XSS Insert Pages 3.7.5未満
プラグイン OBJECT INJECTION Revive Old Posts – Social Media Auto Post and Scheduling Plugin 9.0.11未満
プラグイン XSS Themify Shortcodes 2.0.8未満
プラグイン UNKNOWN AAWP 3.12.3未満
プラグイン XSS Pricing Tables WordPress Plugin – Easy Pricing Tables 3.2.3未満
プラグイン CSRF FL3R FeelBox 8.1以下
プラグイン NO AUTHORISATION WooCommerce Chained Products 2.12.0未満
プラグイン XSS RSS Aggregator by Feedzy 4.1.1未満
プラグイン UPLOAD Membership For WooCommerce 2.1.7未満
プラグイン XSS Widgets for Google Reviews 9.8未満
プラグイン XSS CC Child Pages 1.43未満
プラグイン XSS WP Extended Search 2.1.2未満
プラグイン XSS Posts List Designer by Category 3.2未満
プラグイン XSS News & Blog Designer Pack 3.3未満
プラグイン XSS CPO Companion 1.1.0未満
プラグイン XSS Custom User Profile Fields for User Registration & Member Frontend Profiles with Paid Memberships Pro 1.8.1未満
プラグイン XSS Blog Designer – Post and Widget 2.4.1未満
プラグイン REDIRECT miniOrange WordPress SAML SSO Standard 16.0.8未満
プラグイン REDIRECT miniOrange WordPress SAML SSO Premium 12.1.0未満
プラグイン REDIRECT miniOrange WordPress SAML SSO Premium Multisite 20.0.7未満
プラグイン XSS YourChannel: Everything you want in a YouTube plugin 1.2.3未満
プラグイン XSS PPWP – WordPress Password Protect Page 1.8.6未満
プラグイン XSS Clean Login 1.13.7未満
プラグイン XSS Strong Testimonials 3.0.3未満
プラグイン XSS WP-ShowHide 1.05未満
プラグイン XSS Easy Testimonials 3.9.3未満
プラグイン XSS PDF.js Viewer 2.1.8未満
プラグイン XSS Post Category Image With Grid and Slider 1.4.8未満
プラグイン XSS Royal Elementor Addons 1.3.60未満
プラグイン CSRF Royal Elementor Addons 1.3.60未満
プラグイン NO AUTHORISATION Royal Elementor Addons 1.3.60未満
プラグイン XSS Breadcrumb 1.5.33未満
プラグイン XSS WP Show Posts 1.1.4未満
プラグイン XSS YouTube Channel 3.23.0未満
プラグイン SQLI Hide My WP 6.2.9未満
プラグイン OBJECT INJECTION WOOF – Products Filter for WooCommerce 1.3.2未満
プラグイン XSS Leaflet Maps Marker (Google Maps, OpenStreetMap, Bing Maps) 3.12.7未満
プラグイン XSS WP Blog and Widget 2.3.1未満
プラグイン XSS Materialis Companion 1.3.40未満
プラグイン XSS PDF Generator for WordPress 1.1.2未満
プラグイン NO AUTHORISATION Stream 3.9.2未満
プラグイン XSS Restaurant Menu 2.3.6未満
プラグイン XSS Simple Tooltips 2.1.4未満
プラグイン XSS WP Visitor Statistics (Real Time Traffic) 6.5未満
プラグイン XSS Meks Flexible Shortcodes 1.3.5未満
プラグイン IDOR WP FullCalendar 1.5未満
プラグイン XSS Widget Shortcode 0.3.5以下
プラグイン XSS Widgets on Pages 1.6.0以下
プラグイン XSS Rich Table of Contents 1.3.7以下
プラグイン XSS TemplatesNext ToolKit 3.2.8未満
プラグイン CSRF WP Customer Area 8.1.4未満
プラグイン XSS Better Font Awesome 2.0.4未満
プラグイン XSS GigPress 2.3.28未満
プラグイン XSS Lightbox Gallery 0.9.5未満
プラグイン XSS Youtube Channel Gallery 2.4以下
プラグイン XSS GiveWP 2.24.0未満
プラグイン XSS Amr Shortcode Any Widget 4.0以下
プラグイン XSS YARPP – Yet Another Related Posts Plugin 5.30.2以下
プラグイン XSS Easy PayPal Buy Now Button 1.7.4未満
プラグイン SQLI Mapwiz 1.0.1以下
プラグイン SQLI FL3R FeelBox 8.1以下
プラグイン XSS Twenty20 Image Before-After 1.5.9以下
プラグイン XSS Product Slider and Carousel with Category for WooCommerce 2.8未満
プラグイン CSRF Intuitive Custom Post Order 3.1.3以下
プラグイン NO AUTHORISATION Intuitive Custom Post Order 3.1.3以下
プラグイン XSS Markup 4.8.1以下
プラグイン XSS Page Builder: Live Composer 1.5.22以下
プラグイン LFI LearnPress Plugin 4.2.0未満
プラグイン SQLI LearnPress Plugin 4.2.0未満
プラグイン XSS Login Logout Menu 1.3.3以下
プラグイン XSS WP Responsive Testimonials Slider And Widget 1.5以下
プラグイン XSS Opening Hours 2.3.0以下
プラグイン XSS Easy Social Box 4.1.2以下
プラグイン XSS Post Views Count 3.0.2以下
プラグイン XSS Simple File Downloader 1.0.4以下
プラグイン XSS Bootstrap Shortcodes 3.4.0以下
プラグイン XSS Download Video Sidebar Widgets 6.1以下
プラグイン XSS Video.js – HTML5 Video Player for WordPress 4.5.0以下
プラグイン XSS Hueman Addons 2.3.3以下
プラグイン XSS Paid Memberships Pro 2.9.9未満
プラグイン XSS BackupBuddy 8.8.3未満
プラグイン XSS WP Dark Mode 4.0.0未満
プラグイン XSS Wufoo Shortcode 1.52未満