WordPressの脆弱性レポート:2022年1月、パート2
公開: 2022-01-12脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。
各脆弱性の重大度は、低、中、高、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。 このレポートの新機能:脆弱性は、開示日ではなく、アクティブなインストールの数の順にリストされるようになりました。
この投稿を友達と共有して、WordPressを誰にとっても安全なものにし、情報を広めるのに役立ててください。
WordPressコアの脆弱性
WordPressコアの最新バージョンは、2022年1月6日に短期間のセキュリティリリースとしてリリースされました。 WordPress 5.8.3はセキュリティリリースであるため、すべてのサイトをすぐに更新することをお勧めします。
WordPress 5.8.3に更新するには、WordPress.orgからダウンロードするか、WordPress管理ダッシュボード> [更新]にアクセスして、[今すぐ更新]をクリックします。
バックグラウンドの自動更新を有効にしているサイトがある場合、それらはすでに正常に更新されているはずです。
WordPressコア
脆弱性:WP_Queryを介したSQLインジェクション
バージョンでパッチが適用されました:5.8.3
説明: WP_Meta_Queryに適切なサニタイズがないため、ブラインドSQLインジェクションの可能性があります。
脆弱性:投稿スラッグを介して作成者+保存されたXSS
バージョンでパッチが適用されました:5.8.3
説明: WordPressコアの低特権の認証済みユーザー(作成者など)は、JavaScriptを実行したり、ポストスラッグを介して保存されたXSS攻撃を実行したりできます。これは、高特権のユーザーに影響を与える可能性があります。
脆弱性:マルチサイトでのスーパー管理オブジェクトインジェクション
バージョンでパッチが適用されました:5.8.3
説明:マルチサイトでは、スーパー管理者の役割を持つユーザーは、オブジェクトインジェクションを介して、特定の条件下で明示的/追加の強化をバイパスできます。
脆弱性:WP_Meta_Queryを介したSQLインジェクション
バージョンでパッチが適用されました:5.8.3
説明: WP_Meta_Queryに適切なサニタイズがないため、ブラインドSQLインジェクションの可能性があります。
WordPressプラグインの脆弱性
このセクションでは、最新のWordPressプラグインの脆弱性が公開されています。 各プラグインのリストには、脆弱性の種類、アクティブなインストール、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。
1.SVGサポート
プラグイン: SVGサポート
脆弱性:Admin+に保存されたクロスサイトスクリプティング
アクティブインストール:800,000以上
バージョンでパッチが適用されました:2.3.20
重大度スコア:低
2.アセットのクリーンアップ
プラグイン: Asset CleanUp
脆弱性:AJAXアクションによる反映されたクロスサイトスクリプティング
アクティブインストール:100,000以上
バージョンでパッチが適用されました:1.3.8.5
重大度スコア:高
プラグイン: Asset CleanUp
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:100,000以上
バージョンでパッチが適用されました:1.3.8.5
重大度スコア:中
3.有料会員プロ
プラグイン:有料メンバーシッププロ
脆弱性:認証されていないブラインドSQLインジェクション
アクティブインストール:100,000以上
バージョンのパッチ:2.6.7
重大度スコア:クリティカル
4. NextScripts:ソーシャルネットワーク自動ポスター
プラグイン: NextScripts:Social Networks Auto-Poster
脆弱性:CSRFを介した任意の投稿の削除
アクティブインストール:90,000以上
バージョンでパッチが適用されました:4.3.25
重大度スコア:中
プラグイン: NextScripts:Social Networks Auto-Poster
脆弱性:認証されていない保存されたXSS
アクティブインストール:90,000以上
バージョンでパッチが適用されました:4.3.25
重大度スコア:高
5.アイボリー検索
プラグイン:アイボリー検索
脆弱性:Contributor+保存されたクロスサイトスクリプティング
アクティブインストール:80,000以上
バージョンでパッチが適用されました:5.4.1
重大度スコア:高
6.簡単なソーシャルフィード
プラグイン: Easy Social Feed
脆弱性:リフレクトクロスサイトスクリプティング(XSS)
アクティブインストール:70,000以上
バージョンのパッチ:6.2.7
重大度スコア:高
7.ビジュアルCSSスタイルエディター
プラグイン:ビジュアルCSSスタイルエディター
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:50,000以上
バージョンでパッチが適用されました:7.5.4
重大度スコア:高
8.お問い合わせフォームのエントリ
プラグイン:お問い合わせフォームエントリ
脆弱性:認証されていない保存されたクロスサイトスクリプティング
アクティブインストール:40,000以上
バージョンのパッチ:1.1.7
重大度スコア:高
9. Advanced Cron Manager
プラグイン: Advanced Cron Manager
脆弱性:サブスクライバー+任意のイベント/スケジュールの作成/削除
アクティブインストール:30,000以上
バージョンでパッチが適用されました:2.4.2
重大度スコア:中
10.WPLegalPages
プラグイン: WPLegalPages
脆弱性:サブスクライバー+任意の設定が保存されたXSSに更新されます
アクティブインストール:20,000以上
バージョンでパッチが適用されました:2.7.1
重大度スコア:中
11. WP訪問者統計(リアルタイムトラフィック)
プラグイン: WP訪問者統計(リアルタイムトラフィック)
脆弱性:サブスクライバー+SQLインジェクション
アクティブインストール:20,000以上
バージョンでパッチが適用されました:4.8
重大度スコア:高
12.邪悪なフォルダ
プラグイン:邪悪なフォルダ
脆弱性:サブスクライバー+SQLインジェクション
アクティブインストール:10,000以上
バージョンでパッチが適用されました:2.8.10
重大度スコア:高
13. SupportCandy
プラグイン: SupportCandy
脆弱性:Contributor+保存されたクロスサイトスクリプティング
アクティブインストール:10,000以上
バージョンのパッチ:2.2.7
重大度スコア:中
プラグイン: SupportCandy
脆弱性:クロスサイトスクリプティングに対するCSRF
アクティブインストール:10,000以上
バージョンのパッチ:2.2.7
重大度スコア:中
プラグイン: SupportCandy
脆弱性:CSRFを介した任意のチケットの削除
アクティブインストール:10,000以上
バージョンのパッチ:2.2.7
重大度スコア:高
プラグイン: SupportCandy
脆弱性:認証されていない任意のチケットの削除
アクティブインストール:10,000以上
バージョンのパッチ:2.2.7
重大度スコア:高
プラグイン: SupportCandy
脆弱性:反映されたクロスサイトスクリプティング
アクティブインストール:10,000以上
バージョンのパッチ:2.2.7
重大度スコア:中
14.Woocommerce製品を再配置します
プラグイン: Woocommerce製品を再配置
脆弱性:サブスクライバー+SQLインジェクション
アクティブインストール:10,000以上
バージョンでパッチが適用されます:3.0.8
重大度スコア:高
15.IP2Locationカントリーブロッカー
プラグイン: IP2Locationカントリーブロッカー
脆弱性:CSRFによる任意の国の禁止
アクティブインストール:10,000以上
バージョンのパッチ:2.26.6
重大度スコア:中
プラグイン: IP2Locationカントリーブロッカー
脆弱性:サブスクライバー+任意の国の禁止
アクティブインストール:10,000以上
バージョンのパッチ:2.26.6
重大度スコア:中
プラグイン: IP2Locationカントリーブロッカー
脆弱性:バイパスの禁止
アクティブインストール:10,000以上
バージョンのパッチ:2.26.6
重大度スコア:中
16.素晴らしいサポート– WordPressヘルプデスク&サポートプラグイン
プラグイン:素晴らしいサポート– Titan Framework
脆弱性:リフレクトクロスサイトスクリプティング(XSS)
アクティブインストール:10,000以上
バージョンでパッチが適用されました:6.0.11
重大度スコア:高
17.究極の製品カタログ
プラグイン: Ultimate Product Catalog
脆弱性:サブスクライバー+任意の製品の作成と設定の更新
アクティブインストール:10,000
バージョンでパッチが適用されました:5.0.26
重大度スコア:中
18.ドキュメントエンベッダー
プラグイン:ドキュメントエンベダー
脆弱性:サブスクライバー+任意のプライベート/ドラフト投稿タイトルの開示
アクティブインストール:9,000以上
バージョンのパッチ:1.7.9
重大度スコア:中
プラグイン:ドキュメントエンベダー
脆弱性:認証されていない任意のプライベート/ドラフト投稿タイトルの開示
アクティブインストール:9,000以上
バージョンのパッチ:1.7.9
重大度スコア:中
19. RVM –レスポンシブベクターマップ
プラグイン: RVM –レスポンシブベクターマップ
脆弱性:サブスクライバー+任意のファイルの読み取り
アクティブインストール:6,000以上
バージョンでパッチが適用されました:6.4.2
重大度スコア:高
20.メディアマティック
プラグイン: Mediamatic
脆弱性:サブスクライバー+SQLインジェクション
アクティブインストール:3,000以上
バージョンのパッチ:2.8.1
重大度スコア:高
21.ウープラ
プラグイン: Woopra
脆弱性:認証されていない任意のファイルのアップロード
アクティブインストール:2,000以上
バージョンでパッチが適用されました:1.4.3.2
重大度スコア:クリティカル
22. User Rights AccessManager
プラグイン: User Rights Access Manager
脆弱性:アクセス制限バイパス
アクティブインストール:900以上
バージョンでパッチが適用されます:1.0.8
重大度スコア:中
23.YuMoneyボタン
プラグイン: YuMoneyボタン– Titan Framework
脆弱性:リフレクトクロスサイトスクリプティング(XSS)
アクティブインストール:900以上
バージョンでパッチが適用されます:2.4.0
重大度スコア:高
24.WooCommerceのTrustMate.io統合
プラグイン: WooCommerceのTrustMate.io統合
脆弱性:Subscriber +ArbitraryPluginの設定の更新
アクティブインストール:300以上
バージョンのパッチ:1.8.12
重大度スコア:高
プラグイン: WooCommerceのTrustMate.io統合
脆弱性:Subscriber+任意のブログオプションの更新
アクティブインストール:300以上
バージョンのパッチ:1.7.1
重大度スコア:高
25.真のランカー
プラグイン: TrueRanker
脆弱性:パストラバーサルを介した認証されていない任意のファイルアクセス
アクティブインストール:300以上
バージョンのパッチ:2.2.4
重大度スコア:高
26.WordPress用のWebHotelier
プラグイン: WordPress用WebHotelier – Titan Framework
脆弱性:リフレクトクロスサイトスクリプティング(XSS)
アクティブインストール:200以上
バージョンのパッチ:1.6.1
重大度スコア:高
プレミアムプラグインの脆弱性
このセクションでは、最新のWordPressプレミアムプラグインの脆弱性が公開されています。 各プラグインのリストには、脆弱性の種類、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。
27. Advanced Cron Manager Pro
プラグイン: Advanced Cron Manager Pro
脆弱性:サブスクライバー+任意のイベント/スケジュールの作成/削除
バージョンでパッチが適用されました:2.5.3
重大度スコア:中
WordPressプラグインの脆弱性:既知の修正はありません
このセクションでは、最新のWordPressプラグインの脆弱性がクローズドプラグインで公開されています。 各プラグインのリストには、脆弱性の種類、重大度の評価、および閉鎖の日付が含まれています。
28.お問い合わせフォーム7スキン
プラグイン:お問い合わせフォーム7スキン
脆弱性:リフレクトクロスサイトスクリプティング(XSS)
アクティブインストール:30,000以上
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
29. WooRockets Nitro
プラグイン: WooRockets Nitro
脆弱性:認証されていない任意のプラグインのインストール
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:クリティカル
30.アマゾンアフィリエイト
プラグイン: Amazonアフィリエイト
脆弱性:反映されたクロスサイトスクリプティング
バージョンでパッチが適用されました:既知の修正はありません
重大度スコア:中
脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法
このレポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。 報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。
1. iThemesSecurityProプラグインをインストールします
iThemes Security Proプラグインは、Webサイトがハッキングされる最も一般的な方法に対してWordPressサイトを強化します。 1つの使いやすいプラグインでサイトを保護する30以上の方法があります。
2.サイトスキャンを有効にして、既知の脆弱性をチェックします
iThemes Security Proのバージョン管理機能は、サイトスキャンと統合してサイトを保護します。 脆弱なテーマ、プラグイン、WordPressコアバージョンは自動的に更新されます。
3.ファイル変更検出をアクティブにします
セキュリティ違反をすばやく発見するための鍵は、Webサイト上のファイルの変更を監視することです。 iThemes Security Proのファイル変更検出機能は、Webサイトのファイルをスキャンし、Webサイトで変更が発生したときに警告を発します。
24時間年中無休のWebサイトセキュリティ監視でiThemesSecurityProを入手
WordPressセキュリティプラグインであるiThemesSecurityProは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードの適用などを使用すると、Webサイトにセキュリティの層を追加できます。
