WordPress 2023年3月_脆弱性レポート 2023/03/30
2023年2月度のWordPressに関する脆弱性レポートをお知らせします。
2月度全体の脆弱性報告件数としては109件であり、2023年1月度から3件増加しています。
個所別レポート
個所別の発生件数は、それぞれ本体0件、プラグインが108件、テーマが1件でした。
本体に関しまして、今月は脆弱性が発生していません。
プラグインに関しましては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
また、テーマに関しまして今月は脆弱性が発生しています。
トピックス
プラグインに関しましては先月から3件増加し、109件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。
以下、有名プラグインについて詳述します。
一つ目に、アクティブインストール300万以上、総ダウンロード数1億以上の人気プラグイン『All in One SEO Pack』にXSSの脆弱性が発生しています。
このプラグインは、基礎的なSEO対策を一括で管理できるプラグインです。
お使いの方は、バージョンについての確認を推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン4.3.0以上への更新によって塞ぐことができます。
二つ目に、アクティブインストール100万以上、総ダウンロード数8300万以上の人気プラグイン『Popup Builder by OptinMonster』にIDORの脆弱性が発生しています。
このプラグインは電子メールやマーケティングとしてサイトにポップアップを作成することができるプラグインです。
お使いの方は、バージョンについての確認を推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン2.12.2以上への更新によって塞ぐことができます。
その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることを推奨します。
- WPCodeにてINCORRECT AUTHORISATION
- Ocean ExtraにてIDORおよびXSS
- Formidable FormsにてCSRF
- Shortcodes UltimateにてSENSITIVE DATA DISCLOSURE
- Smart Slider 3にてXSS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで46件、2位がCSRFで34件、3位がSQLiで9件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2023年2月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断されることを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることを推奨します。
表内で「脆弱性分類」および「発見されたVer.」が重複していた「脆弱性のある本体・プラグイン・テーマの名称」につきましては1件の脆弱性として記載しています。
表:2023年2月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| テーマ | INJECTION | WoodMart | 7.1.2未満 |
| プラグイン | XSS | Donation Block For PayPal | 2.1.0未満 |
| プラグイン | XSS | Custom Add User | 2.0.2以下 |
| プラグイン | XSS | Olevmedia Shortcodes | 1.1.9以下 |
| プラグイン | XSS | Print Invoice & Delivery Notes for WooCommerce | 4.7.2未満 |
| プラグイン | XSS | Ocean Extra | 2.1.2未満 |
| プラグイン | CSRF | Formidable Forms | 5.5.7未満 |
| プラグイン | XSS | WP htpasswd | 1.7以下 |
| プラグイン | XSS | GS Insever Portfolio | 1.4.5未満 |
| プラグイン | XSS | VK All in One Expansion Unit | 9.86.0.0未満 |
| プラグイン | XSS | Metform Elementor Contact Form Builder | 3.2.0未満 |
| プラグイン | REDIRECT | Pie Register | 3.8.2.3未満 |
| プラグイン | SQLI | My Sticky Elements | 2.0.9未満 |
| プラグイン | SQLI | GigPress | 2.3.28以下 |
| プラグイン | CSRF | A2 Optimized WP | 3.0.5未満 |
| プラグイン | NO AUTHORISATION | Wicked Folders | 2.18.17未満 |
| プラグイン | CSRF | Wicked Folders | 2.18.17未満 |
| プラグイン | XSS | Interactive Geo Maps | 1.5.11未満 |
| プラグイン | INCORRECT AUTHORISATION | WPCode | 2.0.7未満 |
| プラグイン | XSS | Scriptless Social Sharing | 3.2.2未満 |
| プラグイン | XSS | WPaudio MP3 Player | 4.0.2以下 |
| プラグイン | XSS | Product GTIN (EAN, UPC, ISBN) for WooCommerce | 1.1.1以下 |
| プラグイン | XSS | i2 Pros & Cons | 1.3.1以下 |
| プラグイン | XSS | eVision Responsive Column Layout Shortcodes | 2.3以下 |
| プラグイン | XSS | Synved Shortcodes | 1.6.36以下 |
| プラグイン | XSS | Cost Calculator | 1.8以下 |
| プラグイン | XSS | Resume Builder | 3.1.1以下 |
| プラグイン | XSS | UpQode Google Maps | 1.0.5以下 |
| プラグイン | XSS | Advanced Recent Posts | 0.6.14以下 |
| プラグイン | XSS | Download Attachments | 1.2.24以下 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Profile Builder | 3.9.1未満 |
| プラグイン | IDOR | Popup Builder by OptinMonster | 2.12.2未満 |
| プラグイン | IDOR | Ocean Extra | 2.1.3未満 |
| プラグイン | UPLOAD | Auto Featured Image | 3.9.16未満 |
| プラグイン | CSRF | FV Flowplayer Video Player | 7.5.31.7212未満 |
| プラグイン | XSS | Client Logo Carousel | 3.0.0以下 |
| プラグイン | NO AUTHORISATION | WP VR | 8.2.8未満 |
| プラグイン | CSRF | Locatoraid Store Locator | 3.9.12未満 |
| プラグイン | XSS | Service Area Postcode Checker | 2.0.8以下 |
| プラグイン | XSS | Nooz | 1.7.0未満 |
| プラグイン | XSS | Feed Changer & Removerr | 0.3未満 |
| プラグイン | SQLI | Media Library Assistant | 3.06未満 |
| プラグイン | XSS | Campaign URL Builder | 1.8.2未満 |
| プラグイン | CSRF | Extensions For CF7 | 2.0.9未満 |
| プラグイン | SQLI | WP Coder | 2.5.4未満 |
| プラグイン | CSRF | RegistrationMagic | 5.1.9.3未満 |
| プラグイン | XSS | Namaste! LMS | 2.6未満 |
| プラグイン | XSS | FluentSMTP | 2.2.3未満 |
| プラグイン | SQLI | 10WebMapBuilder | 1.0.73未満 |
| プラグイン | XSS | Companion Sitemap Generator | 4.5.1.1以下 |
| プラグイン | XSS | Juicer | 1.11未満 |
| プラグイン | XSS | Saan World Clock | 1.8以下 |
| プラグイン | XSS | Smart Logo Showcase Lite | 1.1.9以下 |
| プラグイン | XSS | GetResponse for WordPress | 5.5.31以下 |
| プラグイン | XSS | real.Kit | 5.1.1未満 |
| プラグイン | XSS | React Webcam | 1.2.0以下 |
| プラグイン | XSS | Japanized For WooCommerce | 2.5.5未満 |
| プラグイン | XSS | GoToWP | 5.1.1以下 |
| プラグイン | XSS | WPB Advanced FAQ | 1.0.6以下 |
| プラグイン | LFI | Custom Content Shortcode | 4.0.2以下 |
| プラグイン | XSS | Custom Content Shortcode | 4.0.2以下 |
| プラグイン | CSRF | Auto Affiliate Links | 6.3.0.3未満 |
| プラグイン | XSS | VK All in One Expansion Unit | 9.87.1.0未満 |
| プラグイン | CSRF | Organization chart | 1.4.5未満 |
| プラグイン | CSRF | ChatBot | 4.3.0未満 |
| プラグイン | SQLI | ReviewX | 1.6.4未満 |
| プラグイン | OBJECT INJECTION | BuddyForms | 2.7.8未満 |
| プラグイン | XSS | All in One SEO Pack | 4.3.0未満 |
| プラグイン | NO AUTHORISATION | WP Meta SEO | 4.5.4未満 |
| プラグイン | SQLI | Slimstat Analytics | 4.9.3.3未満 |
| プラグイン | SQLI | Paid Memberships Pro | 2.9.12未満 |
| プラグイン | NO AUTHORISATION | ProfileGrid | 5.3.1未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Shortcodes Ultimate | 5.12.8未満 |
| プラグイン | SQLI | WP Meta SEO | 4.5.3未満 |
| プラグイン | REDIRECT | WP Meta SEO | 4.5.3未満 |
| プラグイン | IDOR | WooCommerce Multiple Customer Addresses & Shipping | 21.7未満 |
| プラグイン | CSRF | Read More Excerpt Link | 1.6.1未満 |
| プラグイン | XSS | GN Publisher | 1.5.6未満 |
| プラグイン | XSS | NEX-Forms | 8.3以下 |
| プラグイン | XSS | Simple File List | 6.0.10未満 |
| プラグイン | NO AUTHORISATION | WP Shamsi | 4.3.3以下 |
| プラグイン | NO AUTHORISATION | OoohBoi Steroids for Elementor | 2.1.4以下 |
| プラグイン | XSS | Smart Slider 3 | 3.5.1.14未満 |
| プラグイン | CSRF | HT Slider For Elementor | 1.4.0未満 |
| プラグイン | CSRF | WP Insurance | 2.1.4未満 |
| プラグイン | CSRF | HT Event | 1.4.6未満 |
| プラグイン | CSRF | WP Education | 1.2.7未満 |
| プラグイン | CSRF | QuickSwish | 1.1.0未満 |
| プラグイン | CSRF | WP Film Studio | 1.3.5未満 |
| プラグイン | CSRF | HT Politic | 2.3.8未満 |
| プラグイン | CSRF | WP Plugin Manager | 1.1.8未満 |
| プラグイン | CSRF | WC Sales Notification | 1.2.3未満 |
| プラグイン | CSRF | Preview Link Generator | 1.0.4未満 |
| プラグイン | CSRF | Coupon Zen | 1.0.6未満 |
| プラグイン | CSRF | Contact Form 7 Widget For Elementor Page Builder & Gutenberg Blocks | 1.1.6未満 |
| プラグイン | CSRF | HT Portfolio | 1.1.6未満 |
| プラグイン | CSRF | WP News | 1.1.9以下 |
| プラグイン | CSRF | Free WooCommerce Theme 99fy Extension | 1.2.8未満 |
| プラグイン | CSRF | Ever Compare | 1.2.3以下 |
| プラグイン | CSRF | OAuth Single Sign On – SSO (OAuth Client) Free | 6.24.2未満 |
| プラグイン | CSRF | OAuth Single Sign On – SSO (OAuth Client) Enterprise | 48.4.9未満 |
| プラグイン | CSRF | OAuth Single Sign On – SSO (OAuth Client) Premium | 38.4.9未満 |
| プラグイン | CSRF | OAuth Single Sign On – SSO (OAuth Client) Standard | 28.4.9未満 |
| プラグイン | CSRF | OAuth Single Sign On – SSO (OAuth Client) | 6.24.2未満 |
| プラグイン | CSRF | Stripe Payments For WooCommerce by Checkout | 1.4.11未満 |
| プラグイン | CSRF | Responsive Vertical Icon Menu | 1.5.9未満 |