WordPressの脆弱性レポート：2021年12月、パート2

公開: 2021-12-15

脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。

各脆弱性の重大度は、低、中、高、または重大です。脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。

この投稿を友達と共有して、WordPressをより安全に伝えてください。

このレポートを毎週受信トレイに配信しますか？

毎週の電子メールを購読する

WordPressニュース：Gravatarデータ漏洩

今週、ユニークなアバター向けのグローバルサービスであるGravatarが侵害されましたが、Gravatarはハッキングがなかったことを保証しています。

みなさん、こんにちは。Gravatarがハッキングされておらず、セキュリティプロトコルが侵害されていないことを確認したいと思います。詳細については、https：//t.co/hhIQQ5WWKtをご覧ください。
— Gravatar.com（@gravatar）2021年12月7日

データはスクレイピングされましたが、パスワードやその他の個人情報が取得されなかったため、これは侵害ではありません。代わりに、公開されている情報は、通常は入手が容易ではない方法で収集されました。理論的には、誰かがGravatarユーザーの電子メールアドレスにアクセスするには、そのユーザーのユーザー名を知っている必要があります。スクレイピングにより、攻撃者はユーザー名と電子メールを同時にダウンロードすることができました。

WordPressコアの脆弱性

WordPressコアの最新バージョンは5.8.2です。ベストプラクティスとして、常に最新バージョンのWordPressコアを実行してください。

WordPressプラグインの脆弱性

このセクションでは、最新のWordPressプラグインの脆弱性が公開されています。各プラグインのリストには、脆弱性の種類、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。

1.イベントマネージャー

プラグイン：イベントマネージャー
脆弱性：Admin+SQLインジェクション
バージョンでパッチが適用されます：5.9.8
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン5.9.8に更新する必要があります。

プラグイン：イベントマネージャー
脆弱性：クロスサイトスクリプティング（XSS）
バージョンでパッチが適用されます：5.9.8
重大度スコア：低

この脆弱性にはパッチが適用されているため、バージョン5.9.8に更新する必要があります。

2.ヒトデによる豊富なレビュー

プラグイン：ヒトデによる豊富なレビュー
脆弱性：Admin+SQLインジェクション
バージョンのパッチ：1.9.6
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン1.9.6に更新する必要があります。

3.タイプボット

プラグイン： Typebot
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ：1.4.3
重大度スコア：低

この脆弱性にはパッチが適用されているため、バージョン1.4.3に更新する必要があります。

4.お問い合わせフォームとリードフォームElementorBuilder

プラグイン： Contact Form＆Lead Form Elementor Builder
脆弱性：認証されていない保存されたクロスサイトスクリプティング
バージョンのパッチ：1.6.4
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン1.6.4に更新する必要があります。

5.ダウンロードマネージャー

プラグイン：ダウンロードマネージャー
脆弱性：サブスクライバー+保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：3.2.22
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン3.2.22に更新する必要があります。

6.WPRSSアグリゲーター

プラグイン： Subscriber+保存されたクロスサイトスクリプティング
脆弱性：Admin+SQLインジェクション
バージョンでパッチが適用されました：4.19.3
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン4.19.3に更新する必要があります。

7.ボタンライザー–スマートフローティングアクションボタン

プラグイン： Buttonizer –スマートフローティングアクションボタン
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されます：2.5.5
重大度スコア：低

この脆弱性にはパッチが適用されているため、バージョン2.5.5に更新する必要があります。

8.WPメールログ

プラグイン： WPメールロギング
脆弱性：古いReduxフレームワーク
バージョンのパッチ：1.10.0
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン1.10.0に更新する必要があります。

9.ステティック

プラグイン： Stetic
脆弱性：保存されたクロスサイトスクリプティングに対するCSRF
バージョンにパッチが適用されています：既知の修正はありません–プラグインは閉じられています
重大度スコア：高

この脆弱性にはパッチが適用されていません。このプラグインは2021年11月20日をもって閉鎖されました。アンインストールして削除してください。

10.キャプチャを使用したお問い合わせフォーム

プラグイン：キャプチャを使用したお問い合わせフォーム
脆弱性：保存されたクロスサイトスクリプティングに対するCSRF
バージョンにパッチが適用されています：既知の修正はありません–プラグインは閉じられています
重大度スコア：高

この脆弱性にはパッチが適用されていません。このプラグインは、2021年11月26日をもって閉鎖されました。アンインストールして削除してください。

11.素晴らしいサポート

プラグイン：素晴らしいサポート
脆弱性：反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました：6.0.7
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン6.0.7に更新する必要があります。

12.アスガロスフォーラム

プラグイン： Asgarosフォーラム
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンのパッチ：1.15.14
重大度スコア：低

この脆弱性にはパッチが適用されているため、バージョン1.15.14に更新する必要があります。

13.LiteSpeedキャッシュ

プラグイン： LiteSpeedキャッシュ
脆弱性：認証されていない保存されたXSSへのIPチェックバイパス
バージョンでパッチが適用されました：4.4.4
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン4.4.4に更新する必要があります。

プラグイン： LiteSpeedキャッシュ
脆弱性：Admin+リフレクトクロスサイトスクリプティング
バージョンでパッチが適用されました：4.4.4
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン4.4.4に更新する必要があります。

14.ズームを使用したビデオ会議

プラグイン：ズームを使用したビデオ会議
脆弱性：反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました：3.8.16
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン3.8.16に更新する必要があります。

15.Woocommerceのブースター

プラグイン： Woocommerceのブースター
脆弱性：PDF請求モジュールに反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます：5.4.9
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン5.4.9に更新する必要があります。

プラグイン： Woocommerceのブースター
脆弱性：一般モジュールに反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます：5.4.9
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン5.4.9に更新する必要があります。

プラグイン： Woocommerceのブースター
脆弱性：製品XMLフィードモジュールに反映されたクロスサイトスクリプティング
バージョンでパッチが適用されます：5.4.9
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン5.4.9に更新する必要があります。

16.スピードブースターパック

プラグイン：スピードブースターパック
脆弱性：Admin+SQLインジェクション
バージョンでパッチが適用されました：4.3.3.1
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン4.3.3.1に更新する必要があります。

17. OMGF

プラグイン： OMGF
脆弱性：パストラバーサルによるAdmin+任意のフォルダの削除
バージョンでパッチが適用されました：4.5.12
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン4.5.12に更新する必要があります。

18. CAOS

プラグイン： CAOS
脆弱性：パストラバーサルによるAdmin+任意のフォルダの削除
バージョンでパッチが適用されます：4.1.9
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン4.1.9に更新する必要があります。

19.WPトラベルエンジン

プラグイン： WPトラベルエンジン
脆弱性：Editor+に保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：5.3.1
重大度スコア：低

この脆弱性にはパッチが適用されているため、バージョン5.3.1に更新する必要があります。

20.モニターのダウンロード

プラグイン：モニターをダウンロード
脆弱性：Admin+SQLインジェクション
バージョンでパッチが適用されます：4.4.5
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン4.4.5に更新する必要があります。

21.住宅ローン計算機/ローン計算機

プラグイン：住宅ローン計算機/ローン計算機
脆弱性：Contributor+保存されたクロスサイトスクリプティング
バージョンのパッチ：1.5.17
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン1.5.17に更新する必要があります。

22.WooCommerceのバリエーションスウォッチ

プラグイン： WooCommerceのバリエーションスウォッチ
脆弱性：サブスクライバー+保存されたクロスサイトスクリプティング
バージョンでパッチが適用されました：2.1.2
重大度スコア：高

この脆弱性にはパッチが適用されているため、バージョン2.1.2に更新する必要があります。

23.ClickBankアフィリエイト広告

プラグイン： ClickBankアフィリエイト広告
脆弱性：保存されたクロスサイトスクリプティングに対するCSRF
バージョンにパッチが適用されています：既知の修正はありません–プラグインは閉じられています
重大度スコア：高

この脆弱性にはパッチが適用されていません。このプラグインは2021年12月1日をもって閉鎖されました。アンインストールして削除してください。

プラグイン： ClickBankアフィリエイト広告
脆弱性：Admin+に保存されたクロスサイトスクリプティング
バージョンにパッチが適用されています：既知の修正はありません–プラグインは閉じられています
重大度スコア：低

この脆弱性にはパッチが適用されていません。このプラグインは2021年12月1日をもって閉鎖されました。アンインストールして削除してください。

24.高度なカスタムフィールド

プラグイン：高度なカスタムフィールド
脆弱性：サブスクライバー+任意のACFデータ/フィールドグループビューとフィールドの移動
バージョンでパッチが適用されました：5.11
重大度スコア：中

この脆弱性にはパッチが適用されているため、バージョン5.11に更新する必要があります。

25.カント

プラグイン： Canto
脆弱性：認証されていないブラインドSSRF
バージョンでパッチが適用されました：既知の修正はありません
重大度スコア：中

この脆弱性にはパッチが適用されていません。パッチがリリースされるまで、プラグインをアンインストールして削除します。

26.オールインワンギャラリー

プラグイン：オールインワンギャラリー
脆弱性：Admin+ローカルファイルインクルード
バージョンでパッチが適用されます：2.5.0
重大度スコア：低

この脆弱性にはパッチが適用されているため、バージョン2.5.0に更新する必要があります。

脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法

このレポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。

1. iThemesSecurityProプラグインをインストールします

iThemes Security Proプラグインは、Webサイトがハッキングされる最も一般的な方法に対してWordPressサイトを強化します。 1つの使いやすいプラグインでサイトを保護する30以上の方法があります。

2.サイトスキャンを有効にして、既知の脆弱性をチェックします

iThemes Security Proのバージョン管理機能は、サイトスキャンと統合してサイトを保護します。脆弱なテーマ、プラグイン、WordPressコアバージョンは自動的に更新されます。

3.ファイル変更検出をアクティブにします

セキュリティ違反をすばやく発見するための鍵は、Webサイト上のファイルの変更を監視することです。 iThemes Security Proのファイル変更検出機能は、Webサイトのファイルをスキャンし、Webサイトで変更が発生したときに警告を発します。

24時間年中無休のWebサイトセキュリティ監視でiThemesSecurityProを入手

WordPressセキュリティプラグインであるiThemesSecurityProは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードの適用などを使用すると、Webサイトにセキュリティの層を追加できます。

プラグインとテーマの脆弱性のためのサイトスキャナー
ファイル変更の検出
リアルタイムのウェブサイトセキュリティダッシュボード
WordPressのセキュリティログ
信頼できるデバイス
reCAPTCHA
ブルートフォースプロテクション
二要素認証
マジックログインリンク
特権の昇格
侵害されたパスワードのチェックと拒否

WordPressの脆弱性レポート：2021年12月、パート2

WordPressニュース：Gravatarデータ漏洩

WordPressコアの脆弱性

WordPressプラグインの脆弱性

1.イベントマネージャー

2.ヒトデによる豊富なレビュー

3.タイプボット

4.お問い合わせフォームとリードフォームElementorBuilder

5.ダウンロードマネージャー

6.WPRSSアグリゲーター

7.ボタンライザー–スマートフローティングアクションボタン

8.WPメールログ

9.ステティック

10.キャプチャを使用したお問い合わせフォーム

11.素晴らしいサポート

12.アスガロスフォーラム

13.LiteSpeedキャッシュ

14.ズームを使用したビデオ会議

15.Woocommerceのブースター

16.スピードブースターパック

17. OMGF

18. CAOS

19.WPトラベルエンジン

20.モニターのダウンロード

21.住宅ローン計算機/ローン計算機

22.WooCommerceのバリエーションスウォッチ

23.ClickBankアフィリエイト広告

24.高度なカスタムフィールド

25.カント

26.オールインワンギャラリー

脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法

1. iThemesSecurityProプラグインをインストールします

2.サイトスキャンを有効にして、既知の脆弱性をチェックします

3.ファイル変更検出をアクティブにします

24時間年中無休のWebサイトセキュリティ監視でiThemesSecurityProを入手

iThemesSecurityProを入手する