WordPress 2023年5月_脆弱性レポート 2023/06/30
2023年5月度のWordPressに関する脆弱性レポートをお知らせします。
5月度全体の脆弱性報告件数としては166件であり、2023年4月度から49件増加しています。
個所別レポート
個所別の発生件数は、それぞれ本体5件、プラグインが161件、テーマが0件でした。
本体に関して、今月は脆弱性が発生しています。
プラグインに関しては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
また、テーマに関して今月は脆弱性が発生しておりませんでした。
トピックス
プラグインに関しては先月から45件増加し、161件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。
以下、有名プラグインについて詳述します。
1つ目に、アクティブインストール500万以上、総ダウンロード数3億以上の人気プラグイン『Jetpack』にBYPASSの脆弱性が発生しております。
このプラグインは、WordPressを利用する上で便利な機能がひとまとめにされているプラグインです。
脆弱性はすでにアップデートによって修正済みで、バージョン12.1.1以上への更新によって対策ができます。
2つ目に、アクティブインストール500万以上、総ダウンロード数2億以上の人気プラグイン『Elementor Website Builder』にSQLiの脆弱性が発生しております。
このプラグインは、WordPressのデザインを簡単に編集できるプラグインです。
お使いの方は、バージョンについての確認を推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.12.2以上への更新によって塞ぐことができます。
その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートすることを推奨します。
- Google Analytics by Monster InsightsにてXSS
- Essential Addons for ElementorにてPRIVESC
- WP Fatest CacheにてCSRF
- Advanced Custom FieldsにてXSS
- AutoptimizeにてXSS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで84件、2位がCSRFで21件、3位がSQLiで11件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2023年5月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断いただくことを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更することを推奨します。
表内で「脆弱性分類」および「発見されたVer.」が重複していた「脆弱性のある本体・プラグイン・テーマの名称」につきましては1件の脆弱性として記載しています。
表:2023年5月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | TRAVERSAL | WP | 6.2.1未満 |
| 本体 | CSRF | WP | 6.2.1未満 |
| 本体 | XSS | WP | 6.2.1未満 |
| 本体 | NO AUTHORISATION | WP | 6.2.2未満 |
| プラグイン | XSS | WP EasyPay | 4.1未満 |
| プラグイン | XSS | Product Addons & Fields for WooCommerce | 32.0.7未満 |
| プラグイン | UNKNOWN | Advanced Woo Search | 2.78未満 |
| プラグイン | OBJECT INJECTION | Otter – Gutenberg Blocks | 2.2.6未満 |
| プラグイン | SSRF | Orbit Fox | 2.10.24未満 |
| プラグイン | XSS | Add to Feedly | 1.2.11以下 |
| プラグイン | TRAVERSAL | Image Optimizer by 10web | 1.0.27未満 |
| プラグイン | XSS | Autoptimize | 3.1.7未満 |
| プラグイン | XSS | Custom 404 Pro | 3.7.3未満 |
| プラグイン | XSS | Login Rebuilder | 2.8.1未満 |
| プラグイン | SQLi | Elementor Website Builder | 3.12.2未満 |
| プラグイン | XSS | Newsletter Popup | 1.2以下 |
| プラグイン | CSRF | Newsletter Popup | 1.2以下 |
| プラグイン | CSRF | WP Fatest Cache | 1.1.5未満 |
| プラグイン | XSS | Loginizer | 1.7.8 |
| プラグイン | PRIVESC | Easy Digital Downloads | 3.1.1.4.2未満 |
| プラグイン | XSS | AnyWhere Elementor | 1.2.8未満 |
| プラグイン | XSS | UserAgent-Spy | 1.3.1以下 |
| プラグイン | IDOR | WCFM Membership | 2.11.0未満 |
| プラグイン | XSS | Advanced Custom Fields | 6.1.6未満 |
| プラグイン | NO AUTHORISATION | Metform Elementor Contact Form Builder | 3.3.2未満 |
| プラグイン | SQLi | HollerBox | 2.1.4未満 |
| プラグイン | ACCESS CONTROLS | Download Manager | 3.2.71未満 |
| プラグイン | XSS | WP Abstracts | 2.6.2以下 |
| プラグイン | XSS | VK Blocks | 1.54.0未満 |
| プラグイン | XSS | VK All in One Expansion Unit | 9.88.2未満 |
| プラグイン | NO AUTHORISATION | SALERT | 1.2.2未満 |
| プラグイン | XSS | SALERT | 1.2.2未満 |
| プラグイン | XSS | Seo By 10Web | 1.2.7未満 |
| プラグイン | XSS | Hostel | 1.1.5.2未満 |
| プラグイン | SQLi | AP Pricing Tables Lite | 1.1.6以下 |
| プラグイン | XSS | Tiny carousel horizontal slider plus | 3.2以下 |
| プラグイン | XSS | Directorist | 7.5.4未満 |
| プラグイン | XSS | Custom Field Suite | 2.6.3未満 |
| プラグイン | XSS | Google Analytics by Monster Insights | 8.14.1未満 |
| プラグイン | XSS | Brands for WooCommerce | 3.8.2未満 |
| プラグイン | SQLI | WP Replicate Post | 4.1未満 |
| プラグイン | XSS | 10WebSocial | 1.2.9未満 |
| プラグイン | PRIVESC | Essential Addons for Elementor | 5.4.0-5.7.1 |
| プラグイン | CSRF | Dyslexiefont Free | 1.0.0以下 |
| プラグイン | CSRF | Announcement & Notification Banner – Bulletin | 3.7.1未満 |
| プラグイン | UNKNOWN | Announcement & Notification Banner – Bulletin | 3.7.0未満 |
| プラグイン | XSS | Get Your Number | 1.1.3以下 |
| プラグイン | IDOR | RegistrationMagic | 5.2.1.0未満 |
| プラグイン | XSS | WP Multi Store Locator | 2.5以下 |
| プラグイン | SQLI | Active Directory Integration | 4.1.5未満 |
| プラグイン | XSS | WPCS – WordPress Currency Switcher Professional | 1.2.0未満 |
| プラグイン | INCORRECT AUTHORISATION | WPCS – WordPress Currency Switcher Professional | 1.2.0未満 |
| プラグイン | XSS | Download Manager | 3.2.71未満 |
| プラグイン | XSS | itemprop WP for SERP/SEO Rich snippets | 3.5.201706131以下 |
| プラグイン | XSS | WP Register Profile With Shortcode | 3.5.7以下 |
| プラグイン | XSS | Stop Spammers Security | 2023未満 |
| プラグイン | XSS | ConvertKit | 2.2.1未満 |
| プラグイン | XSS | Newsletter, SMTP, Email marketing and Subscribe forms by Sendinblue | 3.1.61未満 |
| プラグイン | XSS | Survey Maker | 3.4.7未満 |
| プラグイン | XSS | Quiz Maker | 6.4.2.7未満 |
| プラグイン | XSS | video carousel slider with lightbox | 1.0.23未満 |
| プラグイン | XSS | Video Gallery | 1.0.11未満 |
| プラグイン | TRAVERSAL | Snow Monkey Forms | 5.0.7未満 |
| プラグイン | TRAVERSAL | MW WP Form | 4.4.3未満 |
| プラグイン | AUTHBYPASS | RegistrationMagic | 5.2.1.1未満 |
| プラグイン | XSS | WooCommerce Composite Products | 8.7.6未満 |
| プラグイン | IDOR | WooCommerce Ship to Multiple Addresses | 3.8.4未満 |
| プラグイン | XSS | Contact Form Email | 1.3.38未満 |
| プラグイン | XSS | File Away | 3.9.9.0.1以下 |
| プラグイン | XSS | Photo Gallery by Ays | 5.1.7未満 |
| プラグイン | CSRF | Contact Form by Supsystic | 1.7.25未満 |
| プラグイン | PRIVESC | OTP Login Woocommerce & Gravity Forms | 2.3未満 |
| プラグイン | CSRF | Multiple Page Generator | 3.3.18未満 |
| プラグイン | SQLi | Multiple Page Generator | 3.3.18未満 |
| プラグイン | XSS | PixelYourSite | 9.6.2未満 |
| プラグイン | XSS | Zotpress | 7.3.4未満 |
| プラグイン | XSS | Waiting: One-click countdowns | 0.6.2以下 |
| プラグイン | AUTHBYPASS | MStore API | 3.9.1未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | WP Activity Log | 4.5.2未満 |
| プラグイン | XSS | Baidu Tongji generator | 1.0.2以下 |
| プラグイン | AUTHBYPASS | BP Social Connect | 1.6.2未満 |
| プラグイン | CSRF | Better Notifications for WP | 1.9.3未満 |
| プラグイン | XSS | Scripts n Styles | 3.5.8未満 |
| プラグイン | CSRF | Groundhogg | 2.7.9.8未満 |
| プラグイン | XSS | Groundhogg | 2.7.9.8未満 |
| プラグイン | CSRF | Groundhogg | 2.7.8.9未満 |
| プラグイン | CSRF | Groundhogg | 2.7.9.8以下 |
| プラグイン | NO AUTHORISATION | Groundhogg | 2.7.9.8以下 |
| プラグイン | XSS | WooDiscuz – WooCommerce Comments | 2.3.0未満 |
| プラグイン | CSRF | Smart App Banner | 1.1.2未満 |
| プラグイン | XSS | Easy Forms for Mailchimp | 6.8.8以下 |
| プラグイン | XSS | Multiple Plugins from Wow-Company | – |
| プラグイン | XSS | Icegram Engage | 3.1.12未満 |
| プラグイン | XSS | Responsive Tabs For WPBakery Page Builder | 1.1以下 |
| プラグイン | SQLi | SupportCandy | 3.1.7未満 |
| プラグイン | XSS | AI ChatBot | 4.5.5未満 |
| プラグイン | XSS | Custom Base Terms | 1.0.3未満 |
| プラグイン | XSS | qubotchat | 1.1.6未満 |
| プラグイン | SQLi | Integration for Contact Form 7 and Zoho CRM, Bigin | 1.2.4未満 |
| プラグイン | XSS | Qubotchat | 1.1.6未満 |
| プラグイン | RCE | Revolution Slider | 6.6.12以下 |
| プラグイン | AUTHBYPASS | MStore API | 3.9.2未満 |
| プラグイン | XSS | WP-Piwik | 1.0.28未満 |
| プラグイン | XSS | Rank Math SEO PRO | 3.0.36未満 |
| プラグイン | XSS | MailChimp Subscribe Forms | 4.0.9.2未満 |
| プラグイン | XSS | EventPrime | 3.0.0未満 |
| プラグイン | CSRF | BEAR | 1.1.3.2未満 |
| プラグイン | XSS | Novelist | 1.2.1未満 |
| プラグイン | XSS | WooCommerce Follow-Up Emails | 4.9.50未満 |
| プラグイン | CSRF | WooCommerce Follow-Up Emails | 4.9.50未満 |
| プラグイン | CSRF | WIP Custom Login | 1.3.0未満 |
| プラグイン | XSS | Contact Form Entries | 1.3.1未満 |
| プラグイン | XSS | Duplicator Pro | 4.5.11.1未満 |
| プラグイン | XSS | Leyka | 3.30.2未満 |
| プラグイン | PRIVESC | Leyka | 3.30.2以下 |
| プラグイン | XSS | WooCommerce Warranty Requests | 2.1.7未満 |
| プラグイン | XSS | Go Pricing – WordPress Responsive Pricing Tables | 3.4未満 |
| プラグイン | NO AUTHORISATION | Go Pricing – WordPress Responsive Pricing Tables | 3.3.19以下 |
| プラグイン | INCORRECT AUTHORISATION | Go Pricing – WordPress Responsive Pricing Tables | 3.3.19以下 |
| プラグイン | XSS | Ultimate Dashboard | 3.7.6未満 |
| プラグイン | CSRF | YouTube Playlist Player | 4.6.5未満 |
| プラグイン | OBJECT INJECTION | Go Pricing – WordPress Responsive Pricing Tables | 3.4未満 |
| プラグイン | PRIVESC | ReviewX | 1.6.14未満 |
| プラグイン | TRAVERSAL | WordPress File Upload | 4.19.2未満 |
| プラグイン | XSS | WordPress File Upload and WordPress File Upload Pro | 4.19.2未満 |
| プラグイン | XSS | Conditional Menus | 1.2.1未満 |
| プラグイン | BYPASS | Upload Resume | 1.2.0以下 |
| プラグイン | SQLI | WP Custom Cursors | 3.2未満 |
| プラグイン | AUTHBYPASS | MStore API | 3.9.3未満 |
| プラグイン | CSRF | Easy Google Maps | 1.11.8未満 |
| プラグイン | CSRF | JetFormBuilder | 3.0.7未満 |
| プラグイン | XSS | WooCommerce Product Vendors | 2.1.77未満 |
| プラグイン | XSS | Yoast SEO: Local | 15.0未満 |
| プラグイン | XSS | UTM Tracker | 1.3.1以下 |
| プラグイン | XSS | File Renaming on Upload | 2.5.2未満 |
| プラグイン | XSS | AI ChatBot | 4.5.6未満 |
| プラグイン | XSS | Google Map Shortcode | 3.1.2以下 |
| プラグイン | XSS | This Day In History | 3.10.1以下 |
| プラグイン | XSS | IP Metaboxes | 2.1.1以下 |
| プラグイン | XSS | IP Metaboxes | 2.1.1以下 |
| プラグイン | XSS | SlideOnline | 1.2.1以下 |
| プラグイン | SQLi | QueryWall: Plug’n Play Firewall | 1.1.1以下 |
| プラグイン | LFI | WP Directory Kit | 1.2.0未満 |
| プラグイン | UNKNOWN | WP EasyCart | 5.4.9未満 |
| プラグイン | CSRF | WP EasyCart | 5.4.9未満 |
| プラグイン | XSS | Super Socializer | 7.13.52未満 |
| プラグイン | OBJECT INJECTION | Gravity Forms | 2.7.4未満 |
| プラグイン | XSS | AI-Engine | 1.6.83未満 |
| プラグイン | BYPASS | Jetpack | 12.1.1未満 |
| プラグイン | UNKNOWN | Wordapp | 1.5.0以下 |
| プラグイン | CSRF | Feather Login Page | 1.0.7以上1.1.1未満 |
| プラグイン | ACCESS CONTROLS | Feather Login Page | 1.0.7以上1.1.1未満 |
| プラグイン | UNKNOWN | Feather Login Page | 1.0.7以上1.1.1未満 |
| プラグイン | UNKNOWN | Blog-in-Blog | 1.1.1以下 |
| プラグイン | UNKNOWN | CRM Perks Forms | 1.1.2未満 |
| プラグイン | UNKNOWN | Nested Pages | 3.2.4未満 |
| プラグイン | UNKNOWN | Display post meta, term meta, comment meta, and user meta | 0.4.1以下 |
| プラグイン | UNKNOWN | Favorites | 2.3.3未満 |
| プラグイン | UPLOAD | File Manager Advanced Shortcode | 2.3.2以下 |
| プラグイン | NO AUTHORISATION | Draw Attention | 2.0.12未満 |
| プラグイン | CSRF | NextGen GalleryView | 0.5.5以下 |
| プラグイン | UPLOAD | File Manager Advanced Shortcode | 2.3.2以下 |