WordPress 2023年6月_脆弱性レポート 2023/07/31
2023年6月度のWordPressに関する脆弱性レポートをお知らせします。
6月度全体の脆弱性報告件数としては179件であり、2023年5月度から13件増加しています。
個所別レポート
個所別の発生件数は、それぞれ本体0件、プラグインが178件、テーマが1件でした。
本体に関して、今月は脆弱性が発生していません。
プラグインに関しては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
また、テーマに関して今月は脆弱性が発生していました。
トピックス
プラグインに関しては先月から17件増加し、178件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。
以下、有名プラグインについて詳述します。
1つ目に、アクティブインストール500万以上、総ダウンロード数1億5600万以上の人気プラグイン『Contact Form by WPForms』にXSSの脆弱性が発生しています。
このプラグインは、サイト用のお問い合わせや支払いフォームなど、様々な種類のフォームを短時間で作成できるプラグインです。
脆弱性はすでにアップデートによって修正済みで、バージョン1.8.1.3以上への更新によって対策ができます。
2つ目に『Multiple Plugins』に含まれる、アクティブインストール100万以上、総ダウンロード3000万以上の人気プラグイン『WP-Optimize – Cache, Clean, Compress.』にXSSの脆弱性が発生しています。
このプラグインは、WordPressの内部で保存されている不要なファイルを除去したり、ファイルを圧縮してサイトの環境を最適化するプラグインです。
脆弱性はすでにアップデートによって修正済みで、バージョン3.2.13以上への更新によって塞ぐことができます。
また『Multiple Plugins』に含まれる『srbtranslatin』につきましてはプラグインの公開が終了しました。
それぞれのプラグインをお使いの方は、バージョンについての確認を推奨します。
その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートすることを推奨します。
- WooCommerce Stripe Payment GatewayにてNO AUTHORISATIONおよびIDOR
- Formidable FormsにてINCORRECT AUTHORISATION
- Social Media Share Buttons & Social Sharing IconsにてXSS
- Ultimate MemberにてPRIVESC
- POST SMTP MailerにてCSRF
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで92件、2位がCSRFで26件、3位がSQLiで13件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2023年6月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断いただくことを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更することを推奨します。
表内で「脆弱性分類」および「発見されたVer.」が重複していた「脆弱性のある本体・プラグイン・テーマの名称」につきましては1件の脆弱性として記載しています。
表:2023年6月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| テーマ | XSS | TheRoof | 1.0.4未満 |
| プラグイン | XSS | WP Directory Kit | 1.2.4未満 |
| プラグイン | XSS | Bookly | 21.8未満 |
| プラグイン | XSS | Page Builder by AZEXO | 1.27.133以下 |
| プラグイン | CSRF | Page Builder by AZEXO | 1.27.133以下 |
| プラグイン | ACCESS CONTROLS | Page Builder by AZEXO | 1.27.133以下 |
| プラグイン | INSUFFICIENT CRYPTOGRAPHY | User Email Verification for WooCommerce | 3.5.0以下 |
| プラグイン | ACCESS CONTROLS | VK Blocks | 1.57.1.0未満 |
| プラグイン | ACCESS CONTROLS | VK Blocks | 1.58.0.0未満 |
| プラグイン | XSS | Online Booking & Scheduling Calendar for WordPress by vcita | 4.3.1未満 |
| プラグイン | ACCESS CONTROLS | Online Booking & Scheduling Calendar for WordPress by vcita | 4.3.2以下 |
| プラグイン | NO AUTHORISATION | Online Booking & Scheduling Calendar for WordPress by vcita | 4.3.0未満 |
| プラグイン | CSRF | Online Booking & Scheduling Calendar for WordPress by vcita | 4.3.2以下 |
| プラグイン | XSS | Multiple plugins by vcita | – |
| プラグイン | CSRF | Multiple plugins by vcita | – |
| プラグイン | XSS | CRM and Lead Management by vcita | 2.7.0未満 |
| プラグイン | CSRF | CRM and Lead Management by vcita | 2.6.2以下 |
| プラグイン | CSRF | Contact Form Builder by vcita | 4.9.1以下 |
| プラグイン | UNKNOWN | Contact Form Builder by vcita | 4.9.1以下 |
| プラグイン | XSS | Contact Form and Calls To Action by vcita | 2.6.4以下 |
| プラグイン | UNKNOWN | Contact Form and Calls To Action by vcita | 2.6.4以下 |
| プラグイン | UNKNOWN | Online Booking & Scheduling Calendar for WordPress by vcita | 4.3.2以下 |
| プラグイン | XSS | Call Now Accessibility Button | 1.2未満 |
| プラグイン | NO AUTHORISATION | JS Job Manager | 2.0.1未満 |
| プラグイン | XSS | WooCommerce Box Office | 1.1.51未満 |
| プラグイン | NO AUTHORISATION | WooCommerce Box Office | 1.1.52未満 |
| プラグイン | XSS | Kanban Boards for WordPress | 2.5.21未満 |
| プラグイン | XSS | Premium Addons PRO | 2.8.25未満 |
| プラグイン | XSS | Don8 | 0.4以下 |
| プラグイン | NO AUTHORISATION | B2BKing | 4.6.20未満 |
| プラグイン | AUTHBYPASS | WP User Switch | 1.0.3未満 |
| プラグイン | XSS | Social Media Share Buttons & Social Sharing Icons | 2.8.2未満 |
| プラグイン | XSS | USM Premium | 16.3未満 |
| プラグイン | INCORRECT AUTHORISATION | Formidable Forms | 6.3.1未満 |
| プラグイン | XSS | WP ERP | 1.12.4未満 |
| プラグイン | SQLI | WP ERP | 1.12.4未満 |
| プラグイン | XSS | Ultimate Product Catalog | 5.2.6未満 |
| プラグイン | CSRF | KiviCare Management System | 3.2.1未満 |
| プラグイン | NO AUTHORISATION | KiviCare Management System | 3.2.1未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | KiviCare Management System | 3.2.1未満 |
| プラグイン | XSS | WP Brutal AI | 2.0.1未満 |
| プラグイン | CSRF | WP Inventory Manager | 2.1.0.14未満 |
| プラグイン | CSRF | Gravity Forms Google Sheet Connector | 1.3.5未満 |
| プラグイン | XSS | CodeColorer | 0.10.1未満 |
| プラグイン | XSS | KiviCare Management System | 3.2.1未満 |
| プラグイン | SQLI | Custom 404 Pro | 3.8.1未満 |
| プラグイン | SQLi | FormCraft Premium | 3.9.7未満 |
| プラグイン | XSS | Accordion & FAQ | 1.9.9未満 |
| プラグイン | SQLi | WP Brutal AI | 2.0.0未満 |
| プラグイン | SQLi | Responsive CSS EDITOR | 1.0以下 |
| プラグイン | XSS | Aajoda Testimonials | 2.2.2未満 |
| プラグイン | XSS | Catalyst Connect Zoho CRM Client Portal | 2.1.0未満 |
| プラグイン | SSRF | Getwid | 1.8.4未満 |
| プラグイン | INSUFFICIENT CRYPTOGRAPHY | Abandoned Cart Lite for WooCommerce | 5.15.0未満 |
| プラグイン | PRIVESC | Directorist | 7.5.5未満 |
| プラグイン | IDOR | Directorist | 7.5.5未満 |
| プラグイン | XSS | Kanban Boards for WordPress | 2.5.21未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Metform Elementor Contact Form Builder | 3.3.2未満 |
| プラグイン | CSV INJECTION | Metform Elementor Contact Form Builder | – |
| プラグイン | XSS | Metform Elementor Contact Form Builder | 3.3.1未満 |
| プラグイン | XSS | FiboSearch – AJAX Search for WooCommerce | 1.24.0未満 |
| プラグイン | SQLi | Ultimate Addons for Contact Form 7 | 3.1.24未満 |
| プラグイン | SQLi | Ultimate Addons for Contact Form 7 | 3.1.24未満 |
| プラグイン | FILE DOWNLOAD | wpForo Forum | 2.1.8未満 |
| プラグイン | LFI | ND Shortcodes | 7.0未満 |
| プラグイン | RACE CONDITION | Forminator | 1.24.1未満 |
| プラグイン | XSS | CF7 Google Sheets Connector Free | Free < 5.0.2 Pro <= 2.3.5 |
| プラグイン | XSS | WPForms Google Sheet Connector | 3.4.6未満 |
| プラグイン | XSS | Elementor Forms Google Sheet Connector | 1.0.7未満 |
| プラグイン | XSS | Ninja Forms Google Sheet Connector | 1.2.7未満 |
| プラグイン | IDOR | Tutor LMS | 2.2.1未満 |
| プラグイン | BYPASS | Protect WP Admin | 4.0未満 |
| プラグイン | NO AUTHORISATION | WP Directory Kit | 1.2.4未満 |
| プラグイン | CSRF | WordPress Contact Forms by Cimatti | 1.5.8未満 |
| プラグイン | IDOR | WooCommerce Stripe Payment Gateway | 7.4.1未満 |
| プラグイン | CSRF | MStore API | 3.9.7未満 |
| プラグイン | CSRF | Zephyr Project Manager | 3.3.94未満 |
| プラグイン | XSS | ARMember | 4.0.3未満 |
| プラグイン | XSS | Booking and Rental Manager | 1.2.2未満 |
| プラグイン | XSS | Church Admin | 3.7.30未満 |
| プラグイン | XSS | Password Protected | 2.6.3未満 |
| プラグイン | CSRF | All Bootstrap Blocks | 1.3.7未満 |
| プラグイン | XSS | Securimage-WP | 3.6.16以下 |
| プラグイン | CSRF | Disable WordPress Update Notifications | 2.3.3以下 |
| プラグイン | SQLi | Contact Form by WD | 1.13.23以下 |
| プラグイン | CSRF | Google XML Sitemap for Videos | 2.6.1以下 |
| プラグイン | XSS | NextGen GalleryView | 0.5.5以下 |
| プラグイン | XSS | WP Affiliate Links | 0.1.1以下 |
| プラグイン | XSS | Flo Forms | 1.0.40以下 |
| プラグイン | XSS | MasterStudy LMS | 3.0.8以下 |
| プラグイン | NO AUTHORISATION | MasterStudy LMS | 3.0.8以下 |
| プラグイン | CSRF | WooCommerce Stock Manager | 2.11.0未満 |
| プラグイン | UPLOAD | Unlimited Elements For Elementor | 1.5.67未満 |
| プラグイン | XSS | wpView | 1.3.0以下 |
| プラグイン | XSS | Seed Fonts | 2.3.1 |
| プラグイン | XSS | Sermon’e – Sermons Online | 1.0.0以下 |
| プラグイン | XSS | WP Backup Manager | 1.13.1以下 |
| プラグイン | XSS | Google Map Shortcode | 3.1.2以下 |
| プラグイン | XSS | Float menu | 5.0.3未満 |
| プラグイン | XSS | Export All URLs | 4.6未満 |
| プラグイン | PRIVESC | MStore API | 3.9.9未満 |
| プラグイン | NO AUTHORISATION | MStore API | 3.9.7未満 |
| プラグイン | SQLi | MStore API | 3.9.8未満 |
| プラグイン | XSS | URL Shortify | 1.7.0未満 |
| プラグイン | XSS | AI ChatBot | 4.6.1未満 |
| プラグイン | XSS | Simple Iframe | 1.2.0未満 |
| プラグイン | IDOR | EventON | 2.1.2未満 |
| プラグイン | SQLi | All In One Redirection | 2.2.0未満 |
| プラグイン | XSS | Call Now Accessibility Button | 1.1未満 |
| プラグイン | ACCESS CONTROLS | HTTP Headers | 1.18.11未満 |
| プラグイン | XSS | Multiple Plugins | – |
| プラグイン | XSS | Image Protector | 1.1以下 |
| プラグイン | XSS | Enable SVG Uploads | 2.1.5以下 |
| プラグイン | XSS | Companion Sitemap Generator | 4.5.3未満 |
| プラグイン | XSS | PrePost SEO | 3.0以下 |
| プラグイン | XSS | Buy Me a Coffee | 3.7未満 |
| プラグイン | PRIVESC | tagDiv Cloud Library | 2.7未満 |
| プラグイン | PRIVESC | Greeklish-permalink | 3.3以下 |
| プラグイン | XSS | AN_GradeBook | 5.0.1以下 |
| プラグイン | XSS | TinyMCE Custom Styles | 1.1.4未満 |
| プラグイン | NO AUTHORISATION | EventON | 2.1.2未満 |
| プラグイン | BYPASS | CMS Commander | 2.288未満 |
| プラグイン | CSRF | WP Sticky Social | – |
| プラグイン | XSS | EventPrime | 3.0.6未満 |
| プラグイン | XSS | Extra User Details | 0.5.1未満 |
| プラグイン | XSS | Super Socializer | 7.13.53未満 |
| プラグイン | XSS | Smoothscroller | 1.0.0以下 |
| プラグイン | XSS | MojoPlug Slide Panel | 1.1.2以下 |
| プラグイン | CSRF | Form Builder | 1.9.9.0以下 |
| プラグイン | SQLi | WooCommerce Product Vendors | 2.1.79未満 |
| プラグイン | AUTHBYPASS | BookIt | 2.3.8未満 |
| プラグイン | XSS | WooCommerce Bulk Stock Management | 2.2.34未満 |
| プラグイン | CSRF | WooCommerce PayPal Payments | 2.0.5未満 |
| プラグイン | XSS | Contact Form by WPForms | 1.8.1.3未満 |
| プラグイン | XSS | Gravity Forms | 2.7.5未満 |
| プラグイン | XSS | WooCommerce Product Vendors | 2.1.77未満 |
| プラグイン | SQLI | WooCommerce Product Vendors | 2.1.77未満 |
| プラグイン | XSS | WooCommerce Pre-Orders | 2.0.1未満 |
| プラグイン | XSS | WPBakery Page Builder | 6.13.0未満 |
| プラグイン | INJECTION | Supsystic Popup | 1.10.19未満 |
| プラグイン | XSS | InventoryPress | 1.7以下 |
| プラグイン | XSS | Enable SVG, WebP & ICO Upload | 1.0.3以下 |
| プラグイン | IDOR | JS Help Desk – Best Help Desk & Support | 2.7.7以下 |
| プラグイン | XSS | Lana Text to Image | 1.1.0未満 |
| プラグイン | CSRF | Caldera Forms Google Sheets Connector | 1.2以下 |
| プラグイン | CSRF | WooCommerce Google Sheet Connector | 1.3.4以下 |
| プラグイン | プラグイン | XSS Autochat | 1.1.7以下 |
| プラグイン | CSRF | POST SMTP Mailer | 2.5.7未満 |
| プラグイン | XSS | Membership Plugin – Restrict Content | 3.2.3未満 |
| プラグイン | XSS | Floating Chat Widget | 3.1.2未満 |
| プラグイン | XSS | Lana Shortcodes | 1.2.0未満 |
| プラグイン | XSS | NEX-Forms | 8.4.4未満 |
| プラグイン | NO AUTHORISATION | WooCommerce Stripe Payment Gateway | 7.4.1未満 |
| プラグイン | SQLI | AN_GradeBook | 5.0.1以下 |
| プラグイン | XSS | Querlo Chatbot | 1.2.4以下 |
| プラグイン | XSS | Login Configurator | 2.1以下 |
| プラグイン | XSS | Beautiful Cookie Consent Banner | 2.10.2未満 |
| プラグイン | XSS | Conditional extra fees for WooCommerce | 1.0.97未満 |
| プラグイン | XSS | Coupon Affiliates | 5.4.4未満 |
| プラグイン | XSS | Order date time for WooCommerce | 3.0.20未満 |
| プラグイン | XSS | Direct checkout, Add to cart redirect for Woocommerce | 2.1.49未満 |
| プラグイン | XSS | Cancel order request WooCommerce | 1.3.3未満 |
| プラグイン | XSS | IFrame Shortcode | 1.0.5以下 |
| プラグイン | XSS | Optin Forms | 1.3.2以下 |
| プラグイン | XSS | SimpleModal Contact Form (SMCF) | 1.2.9以下 |
| プラグイン | XSS | Connections Business Directory | 10.4.37未満 |
| プラグイン | XSS | Cryptocurrency All-in-One | 3.0.19以下 |
| プラグイン | XSS | Image Map Pro – Drag-and-drop Builder for Interactive Images – Lite | 1.0.0未満 |
| プラグイン | CSRF | Image Map Pro – Drag-and-drop Builder for Interactive Images – Lite | 1.0.0未満 |
| プラグイン | NO AUTHORISATION | Subscribe2 – Form, Email Subscribers & Newsletters | 10.41未満 |
| プラグイン | CSRF | Subscribe2 – Form, Email Subscribers & Newsletters | 10.41未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | EmbedPress – Embed PDF, YouTube, Google Docs, Vimeo, Wistia Videos, Audios, Maps & Any Documents in Gutenberg & Elementor | 3.8.0未満 |
| プラグイン | CSRF | Salon Booking System | 8.4.8未満 |
| プラグイン | UNKNOWN | Active Directory Integration / LDAP Integration | 4.1.6未満 |
| プラグイン | XSS | Short URL | 1.6.5未満 |
| プラグイン | UNKNOWN | WordPress Social Login and Register (Discord, Google, Twitter, LinkedIn) | 7.6.5未満 |
| プラグイン | PRIVESC | Ultimate Member | 2.6.7未満 |