WordPress 2023年7月_脆弱性レポート 2023/08/30
2023年7月度のWordPressに関する脆弱性レポートをお知らせします。
7月度全体の脆弱性報告件数としては149件であり、2023年6月度から30件減少しています。
個所別レポート
個所別の発生件数は、それぞれ本体0件、プラグインが146件、テーマが3件でした。
本体に関して、今月は脆弱性が発生していません。
プラグインに関しては、今月も脆弱性が発生しています。
先月に引き続いての発生となります。
プラグインの脆弱性は例月多く発見されているため、バージョン確認の実施を推奨します。
また、テーマに関して今月は脆弱性が発生していました。
トピックス
プラグインに関しては先月から32件減少し、146件の脆弱性が発見されました。そのうち2件の有名プラグインに脆弱性が発見されています。
以下、有名プラグインについて詳述します。
1つ目に、アクティブインストール200万以上、総ダウンロード数約7000万以上の人気プラグイン『Rank Math SEO』にXSSの脆弱性が発生しています。
このプラグインは、WordPress用の検索エンジン最適化プラグインで、SEO設定についてカスタマイズしサイトの内容を最適化できるプラグインです。
脆弱性はすでにアップデートによって修正済みで、バージョン1.0.119.1以上への更新によって対策ができます。
2つ目にアクティブインストール100万以上、総ダウンロード約5400万以上の人気プラグイン『Essential Addons For Elementor』にSENSITIVE DATA DISCLOSUREの脆弱性が発生しています。
このプラグインは、Elementor専用の拡張として数十種類の要素と拡張機能を使用し、ページ作成機能のパターンを増やせるプラグインです。
脆弱性はすでにアップデートによって修正済みで、バージョン5.8.2以上への更新によって塞ぐことができます。
それぞれのプラグインをお使いの方は、バージョンについての確認を推奨します。
その他利用ユーザーの多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートすることを推奨します。
- Ninja FormsにてXSSおよびNO AUTHORISATION
- WPCodeにてXSS
- All-In-One Security (AIOS) にてINSUFFICIENT CRYPTOGRAPHY
- Post SMTPにてXSS
- YARPPにてXSS
また、今月の時点で提供が終了されたプラグインもいくつか存在しています。管理されておられるサイトにてご利用のプラグインが継続的に管理されていて最新版かどうか、脆弱性に対して対策がなされているかどうか、いま一度ご確認いただくことを推奨します。
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで74件、2位がCSRFで44件、3位がSQLiで5件でした。
トピックス
XSSの発生件数が一番多く、例月通りの傾向です。
脆弱性一覧
2023年7月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されているテーマ、プラグインがある方は、一度診断いただくことを推奨します。
本月次レポートは掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことを推奨します。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことを推奨します。
また、バージョンに関しては、脆弱性情報が発見されたものを記載していますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することを推奨します。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在していますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更することを推奨します。
表内で「脆弱性分類」および「発見されたVer.」が重複していた「脆弱性のある本体・プラグイン・テーマの名称」につきましては1件の脆弱性として記載しています。
表:2023年7月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| テーマ | CSRF | WPLMS | 4.900未満 |
| テーマ | XSS | Freemius SDK | – |
| テーマ | REDIRECT | T1 theme | 19.0以下 |
| プラグイン | XSS | Auto Location for WP Job Manager via Google | 1.1未満 |
| プラグイン | XSS | All-in-one Floating Contact Form | 2.1.2未満 |
| プラグイン | SQLI | User Activity Log | 1.6.3未満 |
| プラグイン | XSS | wpForo Forum | 2.1.9未満 |
| プラグイン | CSRF | WebwinkelKeur | 3.25未満 |
| プラグイン | CSRF | WP RSS Images | 1.1以下 |
| プラグイン | CSRF | Menubar | 5.9未満 |
| プラグイン | XSS | WP Content Copy Protection & No Right Click | 3.5.6未満 |
| プラグイン | XSS | WP-Cirrus | 0.6.11以下 |
| プラグイン | XSS | Animated Number Counters | 1.6以下 |
| プラグイン | XSS | WP Reroute Email | 1.5.0未満 |
| プラグイン | XSS | SMTP Mail | 1.3.2以下 |
| プラグイン | XSS | WP Mail Log | 1.1.2未満 |
| プラグイン | CSRF | ARMember | 4.0.6未満 |
| プラグイン | CSRF | Classified Listing | 2.4.6未満 |
| プラグイン | CSRF | Media Library Helper by Codexin | 1.2.0以下 |
| プラグイン | XSS | Secondary Title | 2.0.9.1以下 |
| プラグイン | XSS | WP Full Stripe Free | 1.6.1以下 |
| プラグイン | XSS | Simple Light Weight Social Share | 2.0以下 |
| プラグイン | XSS | FluentSMTP | 2.2.5未満 |
| プラグイン | CSRF | WP Dummy Content Generator | 3.0.0未満 |
| プラグイン | CSRF | WordPress Mobile Pack | 3.4.1以下 |
| プラグイン | IDOR | Getnet Argentina para Woocommerce | 0.0.5未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | LMS by Masteriyo | 1.6.8未満 |
| プラグイン | XSS | Grid Kit Premium | 2.2.0未満 |
| プラグイン | XSS | Short URL | 1.6.5未満 |
| プラグイン | XSS | Forminator | 1.24.4未満 |
| プラグイン | CSRF | WooCommerce Pre-Orders | 2.0.3未満 |
| プラグイン | XSS | Twittee Text Tweet | 1.0.8以下 |
| プラグイン | SQLI | RSVPMarker | 10.5.5未満 |
| プラグイン | CSRF | HT Feed | 1.2.8未満 |
| プラグイン | CSRF | Custom Field Template | 2.5.9未満 |
| プラグイン | CSRF | BigContact | 1.5.8以下 |
| プラグイン | CSRF | Buy Me a Coffee – Button and Widget Plugin | 3.8未満 |
| プラグイン | NO AUTHORISATION | Buy Me a Coffee – Button and Widget Plugin | 3.8未満 |
| プラグイン | XSS | Mail Control | 0.3.2未満 |
| プラグイン | CSRF | Social Media Icons Widget | 1.6以下 |
| プラグイン | XSS | Authors List | 2.0.3未満 |
| プラグイン | IDOR | WooCommerce Ship to Multiple Addresses | 3.8.6未満 |
| プラグイン | XSS | WooCommerce Ship to Multiple Addresses | 3.8.6未満 |
| プラグイン | XSS | HTTP Headers | 1.19.0未満 |
| プラグイン | XSS | Terms descriptions | 3.4.5未満 |
| プラグイン | CSRF | LWS Cleaner | 2.3.1未満 |
| プラグイン | CSRF | Database Collation Fix | 1.2.8未満 |
| プラグイン | CSRF | WishSuite | 1.3.4未満 |
| プラグイン | CSRF | Advanced Flat rate shipping Woocommerce | 1.6.4.6未満 |
| プラグイン | CSRF | MyCurator Content Curation | 3.75未満 |
| プラグイン | XSS | Post SMTP | 2.5.8未満 |
| プラグイン | CSRF | Shortcode IMDB | 6.0.8以下 |
| プラグイン | CSRF | WPAdmin AWS CDN | 3.0.0未満 |
| プラグイン | UPLOAD | User Registration | 3.0.2.1未満 |
| プラグイン | CSRF | Justin Klein WP Social AutoConnect | 4.6.2未満 |
| プラグイン | CSRF | Replace Word | 2.1以下 |
| プラグイン | XSS | MF Gig Calendar | 1.2.1未満 |
| プラグイン | XSS | Media Library Assistant | 3.08未満 |
| プラグイン | XSS | Variation Images Gallery for WooCommerce | 2.3.4未満 |
| プラグイン | XSS | Variation Swatches for WooCommerce | 2.3.8未満 |
| プラグイン | XSS | Radio Forge Muses Player with Skins | 2.5以下 |
| プラグイン | XSS | AnsPress – Question and answer | 4.3.2未満 |
| プラグイン | XSS | Art Direction | 0.2.4以下 |
| プラグイン | XSS | Buy Me a Coffee | 3.7未満 |
| プラグイン | XSS | WPFunnels | 2.7.17未満 |
| プラグイン | XSS | Custom Field For WP Job Manager | 1.2未満 |
| プラグイン | SSRF | HTTP Headers | 1.19.0未満 |
| プラグイン | XSS | Dovetail | 1.2.13以下 |
| プラグイン | INSUFFICIENT CRYPTOGRAPHY | All-In-One Security (AIOS) – Security and Firewall | 5.2.0未満 |
| プラグイン | UPLOAD | User Registration | 3.0.2.1未満 |
| プラグイン | INCORRECT AUTHORISATION | Export and Import Users and Customers | 2.4.2未満 |
| プラグイン | XSS | CartFlows Pro | 1.11.12未満 |
| プラグイン | CSRF | WP Reroute Email | 1.4.8未満 |
| プラグイン | XSS | Bubble Menu | 3.0.5未満 |
| プラグイン | XSS | Quiz And Survey Master | 8.1.11未満 |
| プラグイン | XSS | WPCode | 2.0.13.1未満 |
| プラグイン | CSRF | WP Shopping Pages | 1.14以下 |
| プラグイン | XSS | MultiParcels Shipping For WooCommerce | 1.15.4未満 |
| プラグイン | NO AUTHORISATION | MultiParcels Shipping For WooCommerce | 1.14.14未満 |
| プラグイン | SQLI | MultiParcels Shipping For WooCommerce | 1.14.15未満 |
| プラグイン | XSS | WP Food Manager | 1.0.4未満 |
| プラグイン | CSRF | Album Gallery – WordPress Gallery | 1.5.0未満 |
| プラグイン | CSRF | WP PDF Generator | 1.2.3未満 |
| プラグイン | CSRF | Inactive User Deleter | 1.60未満 |
| プラグイン | CSRF | Falang multilanguage | 1.3.40未満 |
| プラグイン | CSRF | WooCommerce Order Barcodes | 1.6.5未満 |
| プラグイン | CSRF | Front End Users | 3.2.25未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Royal Elementor Addons | 1.3.71未満 |
| プラグイン | CSRF | Premmerce | 1.3.17未満 |
| プラグイン | CSRF | vSlider Multi Image Slider for WordPress | 4.1.2以下 |
| プラグイン | CSRF | WooCommerce Brands | 1.6.50未満 |
| プラグイン | CSRF | myCred – Points, Rewards, Gamification, Ranks, Badges & Loyalty Plugin | 2.5.1未満 |
| プラグイン | CSRF | Recipe Maker For Your Food Blog from Zip Recipes | 8.0.8未満 |
| プラグイン | CSRF | WooCommerce Ship to Multiple Addresses | 3.8.6未満 |
| プラグイン | CSRF | FiveStarPlugins Restaurant Menu and Food Ordering | 2.4.7未満 |
| プラグイン | NO AUTHORISATION | ProfileGrid | 5.5.3未満 |
| プラグイン | NO AUTHORISATION | ProfileGrid | 5.5.2未満 |
| プラグイン | XSS | YARPP | 5.30.4未満 |
| プラグイン | XSS | Multiple DeoThemes Themes – Reflected Cross-Site Scripting | – |
| プラグイン | XSS | Rank Math SEO | 1.0.119.1未満 |
| プラグイン | XSS | WPBulky | 1.0.10未満 |
| プラグイン | XSS | Chat Button | 1.8.10未満 |
| プラグイン | XSS | PDQ CSV | 1.0.0以下 |
| プラグイン | XSS | Booking Calendar Contact Form | 1.2.41未満 |
| プラグイン | XSS | Easy Captcha | 1.0以下 |
| プラグイン | NO AUTHORISATION | Easy Captcha | 1.0以下 |
| プラグイン | XSS | Custom Post Type Generator | 2.4.2以下 |
| プラグイン | XSS | Freemius SDK | – |
| プラグイン | XSS | Call Now Accessibility Button | 1.1未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Essential Addons For Elementor | 5.8.2未満 |
| プラグイン | XSS | WP Brutal AI | 2.06未満 |
| プラグイン | XSS | wpShopGermany IT-RECHT KANZLEI | 1.8未満 |
| プラグイン | FILE DOWNLOAD | Jupiter X Core | 2.5.0以下 |
| プラグイン | CSRF | WpStream | 4.5.5未満 |
| プラグイン | XSS | eaSYNC | 1.3.7以下 |
| プラグイン | XSS | Post Connector | 1.0.10未満 |
| プラグイン | XSS | Gestion-Pymes | 1.5.6以下 |
| プラグイン | XSS | WP-EMail | 2.69.1未満 |
| プラグイン | XSS | Contact Form Builder by Bit Form | 2.2.0未満 |
| プラグイン | XSS | IURNY by INDIGITALL | 3.2.3未満 |
| プラグイン | IDOR | Simple Author Box | 2.52未満 |
| プラグイン | XSS | Custom Field For WP Job Manager | 1.2未満 |
| プラグイン | SQLI | User Activity Log | 1.6.5未満 |
| プラグイン | XSS | Ultimate Addons for Contact Form 7 | 3.1.29未満 |
| プラグイン | SQLI | WordPress Database Administrator | 1.0.3以下 |
| プラグイン | XSS | CodeBard’s Patron Button and Widgets for Patreon | 2.1.9未満 |
| プラグイン | XSS | Custom Field Template | 2.6未満 |
| プラグイン | SENSITIVE DATA DISCLOSURE | Video Conferencing with Zoom | 4.3.0未満 |
| プラグイン | XSS | Ninja Forms | 3.6.26未満 |
| プラグイン | IDOR | ACF Photo Gallery Field | 2.0未満 |
| プラグイン | NO AUTHORISATION | InstaWP Connect | 0.0.9.19未満 |
| プラグイン | XSS | AGP Font Awesome Collection | 3.2.4以下 |
| プラグイン | XSS | Bit Assist | 1.1.9未満 |
| プラグイン | BYPASS | Change WP Admin | 1.1.4未満 |
| プラグイン | NO AUTHORISATION | Multiple Plugins from Inisev – Subscriber+ Plugin Installation | – |
| プラグイン | CSRF | Multiple Plugins from Inisev – Plugin Installation via CSRF | – |
| プラグイン | CSRF | CartFlows Pro | 1.11.13未満 |
| プラグイン | XSS | MultiParcels Shipping For WooCommerce 1.15.2-1.15.3 – Reflected XSS | 1.15.2-1.15.3 |
| プラグイン | XSS | Blog2Social | 7.2.1未満 |
| プラグイン | CSRF | MultiParcels Shipping For WooCommerce | 1.15.2未満 |