WordPress 2023年2月_脆弱性レポート 2023/02/28
2023年1月度のWordPressに関する脆弱性レポートをお知らせします。
1月度全体の脆弱性報告件数としては106件であり、2023年1月度から100件減少しています。
個所別レポート
個所別の発生件数は、それぞれ本体0件、プラグインが106件、テーマが0件でした。
本体に関しまして、今月は脆弱性が発生していません。
プラグインに関しましては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
また、テーマに関しまして今月は脆弱性が発生していません。
トピックス
プラグインに関しましては先月から96件減少し、106件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール10万以上、総ダウンロード数700万以上の人気プラグイン『YARPP』にXSSの脆弱性が発生しています。
このプラグインは記事が表示されるときに記事の情報をもとに関連スコアを計算して、関連する記事を表示してくれるプラグインです。
お使いの方は、バージョンについての確認を推奨します。
本脆弱性は本記事掲載時点で修正についての情報などはありません。
二つ目に、アクティブインストール5万以上、総ダウンロード数500万以上の人気プラグイン『Google Analyticator』にOBJECT INJECTIONの脆弱性が発生しています。
このプラグインはアクセス解析のためにWordPressとGoogleアナリティクスを連携できるプラグインです。
お使いの方は、バージョンについての確認を推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン6.5.6以上への更新によって塞ぐことができます。
その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- GiveWPにてXSS
- Paid Memberships ProにてXSS
- LearnPress PluginにてLFIおよびSQLI
- Booster for WooCommerceにてCSRF
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで73件、2位がCSRFで6件、3位がSQLiで5件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2023年1月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表内で「脆弱性分類」および「発見されたVer.」が重複していた「脆弱性のある本体・プラグイン・テーマの名称」につきましては1件の脆弱性として記載しています。
表:2023年1月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | CSRF | Booster for WooCommerce | – |
| プラグイン | OBJECT INJECTION | Google Analyticator | 6.5.6未満 |
| プラグイン | XSS | Portfolio for Elementor, Image Gallery & Post Grid | PowerFolio | 2.3.1未満 |
| プラグイン | XSS | PixCodes | 2.3.7未満 |
| プラグイン | XSS | Accordion Shortcodes | 2.4.2以下 |
| プラグイン | XSS | Simple Sitemap | 3.5.8未満 |
| プラグイン | XSS | Bold Timeline Lite | 1.1.5未満 |
| プラグイン | XSS | Icon Widget | 1.3.0未満 |
| プラグイン | XSS | Justified Gallery | 1.7.1未満 |
| プラグイン | XSS | MediaElement.js – HTML5 Video & Audio Player | 4.2.8以下 |
| プラグイン | XSS | CPT Bootstrap Carousel | 1.12以下 |
| プラグイン | XSS | Social Sharing Toolkit | 2.6以下 |
| プラグイン | XSS | Members Import | 1.4.2以下 |
| プラグイン | XSS | Insert Pages | 3.7.5未満 |
| プラグイン | OBJECT INJECTION | Revive Old Posts – Social Media Auto Post and Scheduling Plugin | 9.0.11未満 |
| プラグイン | XSS | Themify Shortcodes | 2.0.8未満 |
| プラグイン | UNKNOWN | AAWP | 3.12.3未満 |
| プラグイン | XSS | Pricing Tables WordPress Plugin – Easy Pricing Tables | 3.2.3未満 |
| プラグイン | CSRF | FL3R FeelBox | 8.1以下 |
| プラグイン | NO AUTHORISATION | WooCommerce Chained Products | 2.12.0未満 |
| プラグイン | XSS | RSS Aggregator by Feedzy | 4.1.1未満 |
| プラグイン | UPLOAD | Membership For WooCommerce | 2.1.7未満 |
| プラグイン | XSS | Widgets for Google Reviews | 9.8未満 |
| プラグイン | XSS | CC Child Pages | 1.43未満 |
| プラグイン | XSS | WP Extended Search | 2.1.2未満 |
| プラグイン | XSS | Posts List Designer by Category | 3.2未満 |
| プラグイン | XSS | News & Blog Designer Pack | 3.3未満 |
| プラグイン | XSS | CPO Companion | 1.1.0未満 |
| プラグイン | XSS | Custom User Profile Fields for User Registration & Member Frontend Profiles with Paid Memberships Pro | 1.8.1未満 |
| プラグイン | XSS | Blog Designer – Post and Widget | 2.4.1未満 |
| プラグイン | REDIRECT | miniOrange WordPress SAML SSO Standard | 16.0.8未満 |
| プラグイン | REDIRECT | miniOrange WordPress SAML SSO Premium | 12.1.0未満 |
| プラグイン | REDIRECT | miniOrange WordPress SAML SSO Premium Multisite | 20.0.7未満 |
| プラグイン | XSS | YourChannel: Everything you want in a YouTube plugin | 1.2.3未満 |
| プラグイン | XSS | PPWP – WordPress Password Protect Page | 1.8.6未満 |
| プラグイン | XSS | Clean Login | 1.13.7未満 |
| プラグイン | XSS | Strong Testimonials | 3.0.3未満 |
| プラグイン | XSS | WP-ShowHide | 1.05未満 |
| プラグイン | XSS | Easy Testimonials | 3.9.3未満 |
| プラグイン | XSS | PDF.js Viewer | 2.1.8未満 |
| プラグイン | XSS | Post Category Image With Grid and Slider | 1.4.8未満 |
| プラグイン | XSS | Royal Elementor Addons | 1.3.60未満 |
| プラグイン | CSRF | Royal Elementor Addons | 1.3.60未満 |
| プラグイン | NO AUTHORISATION | Royal Elementor Addons | 1.3.60未満 |
| プラグイン | XSS | Breadcrumb | 1.5.33未満 |
| プラグイン | XSS | WP Show Posts | 1.1.4未満 |
| プラグイン | XSS | YouTube Channel | 3.23.0未満 |
| プラグイン | SQLI | Hide My WP | 6.2.9未満 |
| プラグイン | OBJECT INJECTION | WOOF – Products Filter for WooCommerce | 1.3.2未満 |
| プラグイン | XSS | Leaflet Maps Marker (Google Maps, OpenStreetMap, Bing Maps) | 3.12.7未満 |
| プラグイン | XSS | WP Blog and Widget | 2.3.1未満 |
| プラグイン | XSS | Materialis Companion | 1.3.40未満 |
| プラグイン | XSS | PDF Generator for WordPress | 1.1.2未満 |
| プラグイン | NO AUTHORISATION | Stream | 3.9.2未満 |
| プラグイン | XSS | Restaurant Menu | 2.3.6未満 |
| プラグイン | XSS | Simple Tooltips | 2.1.4未満 |
| プラグイン | XSS | WP Visitor Statistics (Real Time Traffic) | 6.5未満 |
| プラグイン | XSS | Meks Flexible Shortcodes | 1.3.5未満 |
| プラグイン | IDOR | WP FullCalendar | 1.5未満 |
| プラグイン | XSS | Widget Shortcode | 0.3.5以下 |
| プラグイン | XSS | Widgets on Pages | 1.6.0以下 |
| プラグイン | XSS | Rich Table of Contents | 1.3.7以下 |
| プラグイン | XSS | TemplatesNext ToolKit | 3.2.8未満 |
| プラグイン | CSRF | WP Customer Area | 8.1.4未満 |
| プラグイン | XSS | Better Font Awesome | 2.0.4未満 |
| プラグイン | XSS | GigPress | 2.3.28未満 |
| プラグイン | XSS | Lightbox Gallery | 0.9.5未満 |
| プラグイン | XSS | Youtube Channel Gallery | 2.4以下 |
| プラグイン | XSS | GiveWP | 2.24.0未満 |
| プラグイン | XSS | Amr Shortcode Any Widget | 4.0以下 |
| プラグイン | XSS | YARPP – Yet Another Related Posts Plugin | 5.30.2以下 |
| プラグイン | XSS | Easy PayPal Buy Now Button | 1.7.4未満 |
| プラグイン | SQLI | Mapwiz | 1.0.1以下 |
| プラグイン | SQLI | FL3R FeelBox | 8.1以下 |
| プラグイン | XSS | Twenty20 Image Before-After | 1.5.9以下 |
| プラグイン | XSS | Product Slider and Carousel with Category for WooCommerce | 2.8未満 |
| プラグイン | CSRF | Intuitive Custom Post Order | 3.1.3以下 |
| プラグイン | NO AUTHORISATION | Intuitive Custom Post Order | 3.1.3以下 |
| プラグイン | XSS | Markup | 4.8.1以下 |
| プラグイン | XSS | Page Builder: Live Composer | 1.5.22以下 |
| プラグイン | LFI | LearnPress Plugin | 4.2.0未満 |
| プラグイン | SQLI | LearnPress Plugin | 4.2.0未満 |
| プラグイン | XSS | Login Logout Menu | 1.3.3以下 |
| プラグイン | XSS | WP Responsive Testimonials Slider And Widget | 1.5以下 |
| プラグイン | XSS | Opening Hours | 2.3.0以下 |
| プラグイン | XSS | Easy Social Box | 4.1.2以下 |
| プラグイン | XSS | Post Views Count | 3.0.2以下 |
| プラグイン | XSS | Simple File Downloader | 1.0.4以下 |
| プラグイン | XSS | Bootstrap Shortcodes | 3.4.0以下 |
| プラグイン | XSS | Download Video Sidebar Widgets | 6.1以下 |
| プラグイン | XSS | Video.js – HTML5 Video Player for WordPress | 4.5.0以下 |
| プラグイン | XSS | Hueman Addons | 2.3.3以下 |
| プラグイン | XSS | Paid Memberships Pro | 2.9.9未満 |
| プラグイン | XSS | BackupBuddy | 8.8.3未満 |
| プラグイン | XSS | WP Dark Mode | 4.0.0未満 |
| プラグイン | XSS | Wufoo Shortcode | 1.52未満 |