Pocket

WordPress 2023年4月_脆弱性レポート  2023/04/26

2023年3月度のWordPressに関する脆弱性レポートをお知らせします。

3月度全体の脆弱性報告件数としては94件であり、2023年2月度から15件減少しています。

個所別レポート

個所別の発生件数は、それぞれ本体0件、プラグインが94件、テーマが0件でした。

本体に関して、今月は脆弱性が発生していません。

プラグインに関しては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。

プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。

また、テーマに関して今月は脆弱性が発生していません。

トピックス

プラグインに関しては先月から14件減少し、94件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。

以下、有名プラグインについて詳述します。

1つ目に、アクティブインストール70万以上、総ダウンロード数2300万以上の人気プラグイン『Responsive WordPress Slideshows』にXSSの脆弱性が発生しています。

このプラグインは、ご利用のサイトにスライドショーを追加できるプラグインです。

お使いの方は、バージョンについての確認を推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン3.29.1以上への更新によって対策ができます。

2つ目に、アクティブインストール100万以上、総ダウンロード数2300万以上の人気プラグイン『Cookie Notice & Compliance for GDPR / CCPA』にXSSの脆弱性が発生しています。

このプラグインはご利用のサイトでのCookieの利用についてのバナーを設置できるプラグインです。

お使いの方は、バージョンについての確認を推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン2.4.8以上への更新によって対策ができます。

その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートすることを推奨します。

  • All-In-One Security(AIOS)にてTRAVERSALおよびXSS
  • WP StatisticsにてSQLI
  • Photo Gallery by 10WebにてTRAVERSAL
  • Formidable FormsにてBYPASS

また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで55件、2位がSQLiで10件、3位がCSRFで6件でした。

トピックス

XSSの発生件数が一番多く、例月通りの傾向です。

脆弱性一覧

2023年3月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されているテーマ、プラグインがある方は、一度診断いただくことを推奨します。

本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。

また、バージョンに関しては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更することを推奨します。

表内で「脆弱性分類」および「発見されたVer.」が重複していた「脆弱性のある本体・プラグイン・テーマの名称」につきましては1件の脆弱性として記載しています。

表:2023年3月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
プラグイン XSS menu shortcode 1.0以下
プラグイン BYPASS Metform Elementor Contact Form Builder 3.2.2未満
プラグイン XSS Cost Calculator 1.8以下
プラグイン SSRF Instant Images 5.2.0未満
プラグイン XSS GTmetrix for WordPress 0.4.6未満
プラグイン XSS WP Image Carousel 1.0.2以下
プラグイン XSS Schedulicity – Easy Online Scheduling 2.21以下
プラグイン XSS Watu Quiz 3.3.9.1未満
プラグイン XSS Complianz – GDPR/CCPA Cookie Consent 6.4.2未満
プラグイン SQLI WP Statistics 14.0未満
プラグイン XSS Cookie Notice & Compliance for GDPR / CCPA 2.4.7未満
プラグイン LFI WP Dark Mode 4.0.8未満
プラグイン BYPASS Formidable Forms 6.1未満
プラグイン NO AUTHORISATION Gallery Blocks with Lightbox 3.0.8未満
プラグイン NO AUTHORISATION Coming Soon & Maintenance 4.1.7未満
プラグイン XSS Image Over Image For WPBakery Page Builder 3.0未満
プラグイン TRAVERSAL Drag and Drop Multiple File Upload PRO – Contact Form 7 with Remote Storage Integrations 5.0.6.3未満
プラグイン TRAVERSAL Drag and Drop Multiple File Upload PRO – Contact Form 7 Standard 2.11.0未満
プラグイン CSRF Redirection 1.1.4未満
プラグイン NO AUTHORISATION RapidLoad Power-Up for Autoptimize 1.7.2未満
プラグイン XSS WH Testimonials 3.0.0以下
プラグイン CSRF User Role by BestWebSoft 1.6.7未満
プラグイン LFI Shopping Cart & eCommerce Store 5.4.3未満
プラグイン XSS Solidres 0.9.4以下
プラグイン XSS Klaviyo 3.0.8未満
プラグイン XSS Robo Gallery 3.2.13未満
プラグイン XSS Modern Events Calendar lite 5.16.2以下
プラグイン XSS Embed Any Document 2.7.2未満
プラグイン SENSITIVE DATA DISCLOSURE WP Tiles 1.1.2以下
プラグイン SENSITIVE DATA DISCLOSURE WP Simple Shopping Cart 4.6.3
プラグイン XSS Bookly 21.6未満
プラグイン XSS WP Express Checkout 2.2.9未満
プラグイン XSS eCommerce Product Catalog 3.3.9未満
プラグイン SQLI WP Popup Banners 1.2.5以下
プラグイン XSS Article Directory 1.3以下
プラグイン RCE JetEngine 3.1.3.1未満
プラグイン SQLi Groundhogg Contacts 2.7.9.4未満
プラグイン TRAVERSAL Hummingbird 3.4.2未満
プラグイン XSS Klaviyo 3.0.10以下
プラグイン XSS Time Sheets 1.29.3未満
プラグイン XSS Stylish Cost Calculator Premium 7.9.0未満
プラグイン XSS Auto Rename Media On Upload 1.1.0未満
プラグイン XSS FluentForms 4.3.25未満
プラグイン XSS Scheduled Announcements Widget 1.0未満
プラグイン TRAVERSAL All-In-One Security (AIOS) 5.1.5未満
プラグイン XSS All-In-One Security (AIOS) 5.1.5未満
プラグイン XSS WordPress Amazon S3 Plugin 1.6未満
プラグイン CSRF Admin Log 1.50以下
プラグイン XSS Simple Giveaways 2.45.1未満
プラグイン XSS Event Manager for WooCommerce 3.8.7未満
プラグイン CSRF Redirection 1.1.5未満
プラグイン XSS Drag and Drop Multiple File Upload PRO – Contact Form 7 Standard 2.11.1未満
プラグイン XSS Drag and Drop Multiple File Upload PRO – Contact Form 7 with Remote Storage Integrations 5.0.6.4未満
プラグイン OBJECT INJECTION User Registration 2.3.3未満
プラグイン TRAVERSAL Pricing Tables For WPBakery Page Builder 3.0未満
プラグイン XSS Pricing Tables For WPBakery Page Builder 3.0未満
プラグイン XSS WP VR 8.2.9未満
プラグイン XSS W4 Post List 2.4.6未満
プラグイン SENSITIVE DATA DISCLOSURE W4 Post List 2.4.6未満
プラグイン SQLi Waiting: One-click Countdowns 0.6.2以下
プラグイン SQLi Events Made Easy 2.3.14以下
プラグイン SQLi WP Popup Banners 1.2.5以下
プラグイン SQLi Gift Voucher 4.3.1以下
プラグイン SQLi Formidable PRO2PDF 3.11未満
プラグイン XSS MDTF 1.3.1未満
プラグイン XSS Woo Bulk Price Update 2.2.2未満
プラグイン XSS InPost Gallery 2.1.4.1以下
プラグイン PRIVESC WooCommerce Payments 5.6.2未満
プラグイン SQLi WC Fields Factory 4.1.5以下
プラグイン XSS Responsive WordPress Slideshows 3.29.0
プラグイン XSS Easy Forms for MailChimp 6.8.7未満
プラグイン TRAVERSAL Photo Gallery by 10Web 1.8.15未満
プラグイン NO AUTHORISATION TF Random Numbers 2.0.1未満
プラグイン SQLi Gallery by BestWebSoft 4.7.0未満
プラグイン XSS Gallery by BestWebSoft 4.7.0未満
プラグイン OBJECT INJECTION WP Meta SEO 4.5.5未満
プラグイン XSS Greenshift 5.0.0未満
プラグイン XSS Albo Pretorio Online 4.6.1未満
プラグイン XSS Contact Forms by Cimatti 1.5.5未満
プラグイン XSS Continuous Image Carousel With Lightbox 1.0.16未満
プラグイン XSS MS-Reviews 1.5以下
プラグイン XSS Custom Post Type and Taxonomy GUI Manager 1.1以下
プラグイン XSS Video Central for WordPress 1.3.0以下
プラグイン XSS Weaver Xtreme Theme Support 6.2.7未満
プラグイン NO AUTHORISATION WP VR 8.3.0未満
プラグイン XSS Easy Forms for MailChimp 6.8.8未満
プラグイン CSRF GMAce 1.5.2以下
プラグイン XSS Mega Main Menu 2.2.2以下
プラグイン CSRF Really Simple Google Tag Manager 1.0.7未満