WordPress 2023年4月_脆弱性レポート 2023/04/26
2023年3月度のWordPressに関する脆弱性レポートをお知らせします。
3月度全体の脆弱性報告件数としては94件であり、2023年2月度から15件減少しています。
個所別レポート
個所別の発生件数は、それぞれ本体0件、プラグインが94件、テーマが0件でした。
本体に関して、今月は脆弱性が発生していません。
プラグインに関しては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
また、テーマに関して今月は脆弱性が発生していません。
トピックス
プラグインに関しては先月から14件減少し、94件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。
以下、有名プラグインについて詳述します。
1つ目に、アクティブインストール70万以上、総ダウンロード数2300万以上の人気プラグイン『Responsive WordPress Slideshows』にXSSの脆弱性が発生しています。
このプラグインは、ご利用のサイトにスライドショーを追加できるプラグインです。
お使いの方は、バージョンについての確認を推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.29.1以上への更新によって対策ができます。
2つ目に、アクティブインストール100万以上、総ダウンロード数2300万以上の人気プラグイン『Cookie Notice & Compliance for GDPR / CCPA』にXSSの脆弱性が発生しています。
このプラグインはご利用のサイトでのCookieの利用についてのバナーを設置できるプラグインです。
お使いの方は、バージョンについての確認を推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン2.4.8以上への更新によって対策ができます。
その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートすることを推奨します。
- All-In-One Security(AIOS)にてTRAVERSALおよびXSS
- WP StatisticsにてSQLI
- Photo Gallery by 10WebにてTRAVERSAL
- Formidable FormsにてBYPASS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで55件、2位がSQLiで10件、3位がCSRFで6件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2023年3月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断いただくことを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更することを推奨します。
表内で「脆弱性分類」および「発見されたVer.」が重複していた「脆弱性のある本体・プラグイン・テーマの名称」につきましては1件の脆弱性として記載しています。
表:2023年3月度脆弱性一覧
発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
プラグイン | XSS | menu shortcode | 1.0以下 |
プラグイン | BYPASS | Metform Elementor Contact Form Builder | 3.2.2未満 |
プラグイン | XSS | Cost Calculator | 1.8以下 |
プラグイン | SSRF | Instant Images | 5.2.0未満 |
プラグイン | XSS | GTmetrix for WordPress | 0.4.6未満 |
プラグイン | XSS | WP Image Carousel | 1.0.2以下 |
プラグイン | XSS | Schedulicity – Easy Online Scheduling | 2.21以下 |
プラグイン | XSS | Watu Quiz | 3.3.9.1未満 |
プラグイン | XSS | Complianz – GDPR/CCPA Cookie Consent | 6.4.2未満 |
プラグイン | SQLI | WP Statistics | 14.0未満 |
プラグイン | XSS | Cookie Notice & Compliance for GDPR / CCPA | 2.4.7未満 |
プラグイン | LFI | WP Dark Mode | 4.0.8未満 |
プラグイン | BYPASS | Formidable Forms | 6.1未満 |
プラグイン | NO AUTHORISATION | Gallery Blocks with Lightbox | 3.0.8未満 |
プラグイン | NO AUTHORISATION | Coming Soon & Maintenance | 4.1.7未満 |
プラグイン | XSS | Image Over Image For WPBakery Page Builder | 3.0未満 |
プラグイン | TRAVERSAL | Drag and Drop Multiple File Upload PRO – Contact Form 7 with Remote Storage Integrations | 5.0.6.3未満 |
プラグイン | TRAVERSAL | Drag and Drop Multiple File Upload PRO – Contact Form 7 Standard | 2.11.0未満 |
プラグイン | CSRF | Redirection | 1.1.4未満 |
プラグイン | NO AUTHORISATION | RapidLoad Power-Up for Autoptimize | 1.7.2未満 |
プラグイン | XSS | WH Testimonials | 3.0.0以下 |
プラグイン | CSRF | User Role by BestWebSoft | 1.6.7未満 |
プラグイン | LFI | Shopping Cart & eCommerce Store | 5.4.3未満 |
プラグイン | XSS | Solidres | 0.9.4以下 |
プラグイン | XSS | Klaviyo | 3.0.8未満 |
プラグイン | XSS | Robo Gallery | 3.2.13未満 |
プラグイン | XSS | Modern Events Calendar lite | 5.16.2以下 |
プラグイン | XSS | Embed Any Document | 2.7.2未満 |
プラグイン | SENSITIVE DATA DISCLOSURE | WP Tiles | 1.1.2以下 |
プラグイン | SENSITIVE DATA DISCLOSURE | WP Simple Shopping Cart | 4.6.3 |
プラグイン | XSS | Bookly | 21.6未満 |
プラグイン | XSS | WP Express Checkout | 2.2.9未満 |
プラグイン | XSS | eCommerce Product Catalog | 3.3.9未満 |
プラグイン | SQLI | WP Popup Banners | 1.2.5以下 |
プラグイン | XSS | Article Directory | 1.3以下 |
プラグイン | RCE | JetEngine | 3.1.3.1未満 |
プラグイン | SQLi | Groundhogg Contacts | 2.7.9.4未満 |
プラグイン | TRAVERSAL | Hummingbird | 3.4.2未満 |
プラグイン | XSS | Klaviyo | 3.0.10以下 |
プラグイン | XSS | Time Sheets | 1.29.3未満 |
プラグイン | XSS | Stylish Cost Calculator Premium | 7.9.0未満 |
プラグイン | XSS | Auto Rename Media On Upload | 1.1.0未満 |
プラグイン | XSS | FluentForms | 4.3.25未満 |
プラグイン | XSS | Scheduled Announcements Widget | 1.0未満 |
プラグイン | TRAVERSAL | All-In-One Security (AIOS) | 5.1.5未満 |
プラグイン | XSS | All-In-One Security (AIOS) | 5.1.5未満 |
プラグイン | XSS | WordPress Amazon S3 Plugin | 1.6未満 |
プラグイン | CSRF | Admin Log | 1.50以下 |
プラグイン | XSS | Simple Giveaways | 2.45.1未満 |
プラグイン | XSS | Event Manager for WooCommerce | 3.8.7未満 |
プラグイン | CSRF | Redirection | 1.1.5未満 |
プラグイン | XSS | Drag and Drop Multiple File Upload PRO – Contact Form 7 Standard | 2.11.1未満 |
プラグイン | XSS | Drag and Drop Multiple File Upload PRO – Contact Form 7 with Remote Storage Integrations | 5.0.6.4未満 |
プラグイン | OBJECT INJECTION | User Registration | 2.3.3未満 |
プラグイン | TRAVERSAL | Pricing Tables For WPBakery Page Builder | 3.0未満 |
プラグイン | XSS | Pricing Tables For WPBakery Page Builder | 3.0未満 |
プラグイン | XSS | WP VR | 8.2.9未満 |
プラグイン | XSS | W4 Post List | 2.4.6未満 |
プラグイン | SENSITIVE DATA DISCLOSURE | W4 Post List | 2.4.6未満 |
プラグイン | SQLi | Waiting: One-click Countdowns | 0.6.2以下 |
プラグイン | SQLi | Events Made Easy | 2.3.14以下 |
プラグイン | SQLi | WP Popup Banners | 1.2.5以下 |
プラグイン | SQLi | Gift Voucher | 4.3.1以下 |
プラグイン | SQLi | Formidable PRO2PDF | 3.11未満 |
プラグイン | XSS | MDTF | 1.3.1未満 |
プラグイン | XSS | Woo Bulk Price Update | 2.2.2未満 |
プラグイン | XSS | InPost Gallery | 2.1.4.1以下 |
プラグイン | PRIVESC | WooCommerce Payments | 5.6.2未満 |
プラグイン | SQLi | WC Fields Factory | 4.1.5以下 |
プラグイン | XSS | Responsive WordPress Slideshows | 3.29.0 |
プラグイン | XSS | Easy Forms for MailChimp | 6.8.7未満 |
プラグイン | TRAVERSAL | Photo Gallery by 10Web | 1.8.15未満 |
プラグイン | NO AUTHORISATION | TF Random Numbers | 2.0.1未満 |
プラグイン | SQLi | Gallery by BestWebSoft | 4.7.0未満 |
プラグイン | XSS | Gallery by BestWebSoft | 4.7.0未満 |
プラグイン | OBJECT INJECTION | WP Meta SEO | 4.5.5未満 |
プラグイン | XSS | Greenshift | 5.0.0未満 |
プラグイン | XSS | Albo Pretorio Online | 4.6.1未満 |
プラグイン | XSS | Contact Forms by Cimatti | 1.5.5未満 |
プラグイン | XSS | Continuous Image Carousel With Lightbox | 1.0.16未満 |
プラグイン | XSS | MS-Reviews | 1.5以下 |
プラグイン | XSS | Custom Post Type and Taxonomy GUI Manager | 1.1以下 |
プラグイン | XSS | Video Central for WordPress | 1.3.0以下 |
プラグイン | XSS | Weaver Xtreme Theme Support | 6.2.7未満 |
プラグイン | NO AUTHORISATION | WP VR | 8.3.0未満 |
プラグイン | XSS | Easy Forms for MailChimp | 6.8.8未満 |
プラグイン | CSRF | GMAce | 1.5.2以下 |
プラグイン | XSS | Mega Main Menu | 2.2.2以下 |
プラグイン | CSRF | Really Simple Google Tag Manager | 1.0.7未満 |