WordPress 2023年4月_脆弱性レポート 2023/05/26
2023年4月度のWordPressに関する脆弱性レポートをお知らせします。
4月度全体の脆弱性報告件数としては117件であり、2023年3月度から23件減少しています。
個所別レポート
個所別の発生件数は、それぞれ本体0件、プラグインが116件、テーマが1件でした。
本体に関して、今月は脆弱性が発生していません。
プラグインに関しては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
また、テーマに関して今月は脆弱性が発生しています。
トピックス
プラグインに関しては先月から22件増加し、116件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。
以下、有名プラグインについて詳述します。
1つ目に、アクティブインストール100万以上、総ダウンロード数4000万以上の人気プラグイン『WP Fastest Caches』にCSRFの脆弱性が発生しています。
このプラグインは、Webサイトのパフォーマンスを向上させてくれるプラグインです。
お使いの方は、バージョンについての確認を推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン1.1.5以上への更新によって対策ができます。
2つ目に、アクティブインストール90万以上、総ダウンロード数3800万以上の人気プラグイン『Ninja Forms』にXSSの脆弱性が発生しています。
このプラグインは、お問い合わせフォームを簡単に作成・設置できるプラグインです。
お使いの方は、バージョンについての確認を推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.6.23以上への更新によって塞ぐことができます。
その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートすることを推奨します。
- Advanced Custom FieldsにてOBJECT INJECTION
- WPCode LiteにてCSRF
- Formidable FormsにてOBJECT INJECTION
- Custom Post Type UIにてCSRF
- Ad InserterにてOBJECT INJECTION
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで72件、2位がCSRFで13件、3位がSQLiで11件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2023年4月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断いただくことを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更することを推奨します。
表内で「脆弱性分類」および「発見されたVer.」が重複していた「脆弱性のある本体・プラグイン・テーマの名称」につきましては1件の脆弱性として記載しています。
表:2023年4月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| テーマ | XSS | Outdoor | 3.9.7未満 |
| プラグイン | XSS | Ajax Search | Lite:4.11.1未満, Pro:4.26.2未満 |
| プラグイン | SQLi | Random Text | 0.3.0以下 |
| プラグイン | CSRF | Custom Post Type UI | 1.13.5未満 |
| プラグイン | CSRF | WPCode Lite | 2.0.9未満 |
| プラグイン | XSS | WP FEvents Book | 0.46以下 |
| プラグイン | IDOR | WP FEvents Book | 0.46以下 |
| プラグイン | XSS | Steveas WP Live Chat Shoutbox | 1.4.2以下 |
| プラグイン | SQLi | Steveas WP Live Chat Shoutbox | 1.4.2以下 |
| プラグイン | XSS | Albo Pretorio Online | 4.6.2未満 |
| プラグイン | XSS | Product page shipping calculator for WooCommerce | 1.3.21未満 |
| プラグイン | XSS | Product Enquiry for WooCommerce | 2.2.13未満 |
| プラグイン | XSS | Magic Post Thumbnail | 4.1.11未満 |
| プラグイン | XSS | PropertyHive | 1.5.47未満 |
| プラグイン | XSS | Amr Ical Events Lists | 6.6以下 |
| プラグイン | UPLOAD | Zyrex Popup | 1.1未満 |
| プラグイン | XSS | Quick Paypal Payments | 5.7.26.4未満 |
| プラグイン | XSS | Sp*tify Play Button for WordPress | 2.08未満 |
| プラグイン | XSS | Site Reviews | 6.7.1未満 |
| プラグイン | XSS | WP SMTP Mailing Queue | 2.0.1未満 |
| プラグイン | XSS | Stagtools | 2.3.7未満 |
| プラグイン | SQLi | Slimstat Analytics | 4.9.4未満 |
| プラグイン | NO AUTHORISATION | YourChannel | 1.2.4未満 |
| プラグイン | XSS | YourChannel | 1.2.6未満 |
| プラグイン | CSRF | YourChannel | 1.2.5未満 |
| プラグイン | XSS | MyCryptoCheckout | 2.124未満 |
| プラグイン | XSS | Limit Login Attempts | 1.7.2未満 |
| プラグイン | XSS | Maps Widget for Google Maps | 4.25未満 |
| プラグイン | OBJECT INJECTION | Formidable Forms | 6.2未満 |
| プラグイン | CSRF | WP Fatest Cache | 1.1.3未満 |
| プラグイン | XSS | Product Catalog Simple | 1.7.0未満 |
| プラグイン | PRIVESC | WP Data Access | 5.3.8未満 |
| プラグイン | SQLi | Transbank Webpay REST | 1.6.7未満 |
| プラグイン | XSS | Appointment and Event Booking Calendar for WordPress | 1.0.76未満 |
| プラグイン | XSS | WPGlobus Translate Options | 2.2.0未満 |
| プラグイン | SQLi | SupportCandy | 3.1.5未満 |
| プラグイン | IDOR | Blocksy Companion | 1.8.82未満 |
| プラグイン | OBJECT INJECTION | Advanced Custom Fields | 5.12.5未満 |
| プラグイン | XSS | Limit Login Attempts | 1.7.2未満 |
| プラグイン | OBJECT INJECTION | Advanced Custom Fields | 6.1.0未満 |
| プラグイン | XSS | Product Catalog Feed by PixelYourSite | 2.1.1未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Download Manager Pro | 6.3.0未満 |
| プラグイン | XSS | WP Custom Author URL | 1.0.5未満 |
| プラグイン | OBJECT INJECTION | SEOPress | 6.5.0.3未満 |
| プラグイン | IDOR | Ruby Help Desk | 1.3.4未満 |
| プラグイン | XSS | ChatBot | 4.5.1未満 |
| プラグイン | XSS | ChatBot | 4.4.9未満 |
| プラグイン | OBJECT INJECTION | ChatBot | 4.4.7未満 |
| プラグイン | CSRF | ChatBot | 4.4.5未満 |
| プラグイン | XSS | Cloud Manager | 1.0以下 |
| プラグイン | XSS | WP Inventory Manager | 2.1.0.12未満 |
| プラグイン | XSS | hiWeb Migration Simple | 2.0.0.1以下 |
| プラグイン | XSS | UserPlus | 2.0以下 |
| プラグイン | XSS | Pickup | Delivery | Dine-in date time | 1.0.9以下 |
| プラグイン | CSRF | Ultimate Noindex Nofollow Tool II | 1.3.4未満 |
| プラグイン | AUTHBYPASS | ZM Ajax Login & Register | 2.0.2以下 |
| プラグイン | XSS | Electric Studio Client Login | 0.8.1以下 |
| プラグイン | XSS | Motor Racing League | 1.9.9以下 |
| プラグイン | XSS | WP Popups | 2.1.5.1未満 |
| プラグイン | OBJECT INJECTION | Customizer Export/Import | 0.9.6未満 |
| プラグイン | XSS | Japanized For WooCommerce | 2.5.8未満 |
| プラグイン | XSS | WP Login Box | 2.0.2以下 |
| プラグイン | XSS | Product Slider For WooCommerce Lite | 1.1.7以下 |
| プラグイン | XSS | Wp-D3 | 2.4.1以下 |
| プラグイン | XSS | Custom Post Type List Shortcode | 1.4.4以下 |
| プラグイン | XSS | Post Shortcode | 2.0.9以下 |
| プラグイン | CSRF | Enable/Disable Auto Login when Register | 1.1.0以下 |
| プラグイン | XSS | Membership Database | 1.0以下 |
| プラグイン | SQLi | Video List Manager | 1.7以下 |
| プラグイン | XSS | Ultimate Carousel For WPBakery Page Builder | 2.6以下 |
| プラグイン | XSS | Mega Addons For WPBakery Page Builder | 4.3.0未満 |
| プラグイン | XSS | Ultimate Carousel For Elementor | 2.1.7以下 |
| プラグイン | SQLi | Avirato hotels online booking engine | 5.0.5以下 |
| プラグイン | SQLi | NEX-Forms | 8.4未満 |
| プラグイン | XSS | Sloth Logo Customizer | 2.0.2以下 |
| プラグイン | XSS | Responsive Filterable Portfolio | 1.0.20未満 |
| プラグイン | XSS | Pretty Url | 1.5.4以下 |
| プラグイン | XSS | Thumbnail carousel slider | 1.1.10未満 |
| プラグイン | CSRF | Clock In Portal | 2.1以下 |
| プラグイン | XSS | f(x) TOC | 1.1.0以下 |
| プラグイン | XSS | TaxoPress | 3.6.5未満 |
| プラグイン | CSRF | Liquid Speech Balloon | 1.2未満 |
| プラグイン | OBJECT INJECTION | Ad Inserter | 2.7.27未満 |
| プラグイン | NO AUTHORISATION | WooCommerce Order Status Change Notifier | 1.1.0以下 |
| プラグイン | XSS | Help Desk WP | 1.2.0以下 |
| プラグイン | FILE DOWNLOAD | KIWIZ Invoices Certification & PDF System | 2.1.3以下 |
| プラグイン | XSS | RapidExpCart | 1.0以下 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Active Directory Integration / LDAP Integration | 4.1.1未満 |
| プラグイン | XSS | BizLibrary | 1.1以下 |
| プラグイン | XSS | ActiveCampaign | 8.1.12未満 |
| プラグイン | CSRF | Form Block | 1.0.2未満 |
| プラグイン | XSS | AI Contact Us Form | 1.0以下 |
| プラグイン | XSS | PushAssist | 3.0.8以下 |
| プラグイン | XSS | Tablesome | 1.0.9未満 |
| プラグイン | SQLi | HTTP Headers | 1.18.8未満 |
| プラグイン | SQLi | WP Visitor Statistics (Real Time Traffic) | 6.9未満 |
| プラグイン | XSS | Product Addons & Fields for WooCommerce | 32.0.6未満 |
| プラグイン | XSS | Ninja Forms | 3.6.22未満 |
| プラグイン | XSS | tagDiv Composer | 4.0未満 |
| プラグイン | SQLi | YARPP – Yet Another Related Posts Plugin | 5.30.3未満 |
| プラグイン | ACCESS CONTROLS | REST API TO MiniProgram | 4.6.1以下 |
| プラグイン | XSS | URL Params | 2.5未満 |
| プラグイン | XSS | Tiempo.com | 0.1.2以下 |
| プラグイン | CSRF | Tiempo.com | 0.1.2以下 |
| プラグイン | XSS | Shield Security | 17.0.18未満 |
| プラグイン | NO AUTHORISATION | Shield Security | 17.0.18未満 |
| プラグイン | XSS | Ko-fi Button | 1.3.3未満 |
| プラグイン | XSS | SEO ALert | 1.59以下 |
| プラグイン | XSS | WP Inventory Manager | 2.1.0.13未満 |
| プラグイン | XSS | Image Optimizer by 10web | 1.0.27未満 |
| プラグイン | SSRF | Booking Manager | 2.0.29未満 |