WordPressの脆弱性レポート:2021年9月、パート2

公開: 2021-09-08

脆弱なプラグインとテーマは、WordPressWebサイトがハッキングされる最大の理由です。 WPScanを利用した毎週のWordPress脆弱性レポートでは、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行した場合の対処方法について説明しています。

各脆弱性の重大度は、、または重大です。 脆弱性の責任ある開示と報告は、WordPressコミュニティを安全に保つための不可欠な部分です。

これまでで最大のWordPress脆弱性レポートの1つとして、この投稿を友達と共有して、WordPressを広め、すべての人にとってより安全にするのに役立ててください。

2021年9月8日報告書の内容
    このレポートを毎週受信トレイに配信しますか?
    サインアップしてください!

    WordPressのコアの脆弱性

    今月、新しいWordPressコアの脆弱性は公開されていません。

    WordPressプラグインの脆弱性

    このセクションでは、最新のWordPressプラグインの脆弱性が公開されています。 各プラグインのリストには、脆弱性の種類、パッチが適用されている場合のバージョン番号、および重大度の評価が含まれています。

    1.カウントダウンブロック

    プラグイン:カウントダウンブロック
    脆弱性:AJAXアクションで承認が欠落しています
    バージョンでパッチが適用されました:1.1.2
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン1.1.2に更新する必要があります。

    2.ユーザーアクティビティログ

    プラグイン:ユーザーアクティビティログ
    脆弱性:クエリ文字列を介した反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:1.4.7
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン1.4.7に更新する必要があります。

    プラグイン:ユーザーアクティビティログ
    脆弱性:反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:1.4.7
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン1.4.7に更新する必要があります。

    3. GDPR / CCPAのCookie通知とコンプライアンス

    プラグイン: GDPR / CCPAのCookie通知とコンプライアンス
    脆弱性:Admin +に保存されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:2.1.2
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン2.1.2に更新する必要があります。

    4. TranslatePress

    プラグイン: TranslatePress
    脆弱性:認証済みの保存されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:2.0.9
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン2.0.9に更新する必要があります。

    5.WP統計

    プラグイン: WP統計
    脆弱性:反映されたクロスサイトスクリプティング(XSS)
    バージョンでパッチが適用されました:13.1
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン13.1に更新する必要があります。

    6. CoolClock

    プラグイン: CoolClock
    脆弱性:Contributor +保存されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:4.3.5
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン4.3.5に更新する必要があります。

    7.miniorangeの複数のプラグイン

    プラグイン: miniorangeの複数のプラグイン
    脆弱性:appIdを介した反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:6.20.3
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン6.20.3に更新する必要があります。

    8.Elementorのプレミアムアドオン

    プラグイン: Elementorのプレミアムアドオン
    脆弱性:Subscriber +任意のブログオプションの更新
    バージョンでパッチが適用されました:4.5.2
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン4.5.2に更新する必要があります。

    9.ドケットキャッシュ

    プラグイン:ドケットキャッシュ
    脆弱性:反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました:21.08.02
    重大度スコア

    この脆弱性にはパッチが適用されているため、バージョン21.08.02に更新する必要があります。

    10. WooCommerce Zoho統合– CRM、書籍、請求書、在庫

    プラグイン: WooCommerce Zoho統合– CRM、書籍、請求書、在庫
    脆弱性:CRM特典からの複数のプラグイン–反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.2.4  
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.2.4に更新する必要があります。

    11.WooCommerceとQuickBooksの統合

    プラグイン: WooCommerceとQuickBooksの統合
    脆弱性:CRM特典からの複数のプラグイン–反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.1.9
     重大度

    この脆弱性にはパッチが適用されているため、バージョン1.1.9に更新する必要があります。

    12. Gravity Forms Salesforce

    プラグイン: Gravity Forms Salesforce
    脆弱性:CRM特典からの複数のプラグイン–反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.2.6
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.2.6に更新する必要があります。

    13. Gravity Forms ZohoCRMアドオン

    プラグイン: Gravity Forms ZohoCRMアドオン
    脆弱性:CRM特典からの複数のプラグイン–反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.1.6  
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.1.6に更新する必要があります。

    14.重力フォームHubSpot

    プラグイン: Gravity Forms HubSpot
    脆弱性:CRM特典からの複数のプラグイン–反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.0.9
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.0.9に更新する必要があります。

    15. WooCommerceSalesforce統合

    プラグイン: WooCommerceSalesforce統合
    脆弱性:CRM特典からの複数のプラグイン–反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.5.9
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.5.9に更新する必要があります。

    16. Gravity FormsZendesk

    プラグイン: Gravity Forms Zendesk
    脆弱性:CRM特典からの複数のプラグイン–反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.0.8
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.0.8に更新する必要があります。

    17. WP InfusionsoftWooCommerceプラグイン

    プラグイン: WP InfusionsoftWooCommerceプラグイン
    脆弱性:CRM特典からの複数のプラグイン–反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.0.9
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.0.9に更新する必要があります。

    18.お問い合わせフォーム7とActiveCampaignの統合

    プラグイン: Contact Form7とActiveCampaignの統合
    脆弱性:CRM特典からの複数のプラグイン–反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.0.4
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.0.4に更新する必要があります。

    19.HubSpotとWooCommerceの統合

    プラグイン: HubSpotとWooCommerceの統合
    脆弱性:CRM特典からの複数のプラグイン–反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.0.5
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.0.5に更新する必要があります。

    20. Gravity FormsFreshDeskプラグイン

    プラグイン: Gravity Forms FreshDeskプラグイン–WordPressプラグイン| WordPress.org
    脆弱性:CRM特典からの複数のプラグイン–反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.2.9
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.2.9に更新する必要があります。

    21. Gravity Forms Dynamics CRM

    プラグイン: Gravity Forms Dynamics CRM
    脆弱性:CRM特典からの複数のプラグイン–反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.0.8
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.0.8に更新する必要があります。

    22. GravityFormsコンスタントコンタクトプラグイン

    プラグイン: Gravity Forms ConstantContactプラグイン
    脆弱性:CRM特典からの複数のプラグイン–反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.0.6
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.0.6に更新する必要があります。

    23.重力フォームとパイプドライブの統合

    プラグイン: GravityFormsとPipedriveの統合
    脆弱性:CRM特典からの複数のプラグイン–反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.0.7
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.0.7に更新する必要があります。

    24.WP重力フォームインサイト

    プラグイン: WP Gravity Forms Insightly
    脆弱性:CRM特典からの複数のプラグイン–反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.0.7
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.0.7に更新する必要があります。

    25.WordPressのアンインストール

    プラグイン: WordPressのアンインストール
    脆弱性:CSRFを介したWordPressの削除
    バージョンでパッチが適用されました既知の修正はありません
    重大度

    この脆弱性にはパッチが適用されていません。 パッチがリリースされるまで、プラグインをアンインストールして削除します。

    26. CFGeoプラグイン

    プラグイン: CFGeoプラグイン
    脆弱性:反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました7.13.12
    重大度

    この脆弱性にはパッチが適用されているため、バージョン7.13.12に更新する必要があります。

    27.アンダーコンストラクション

    プラグイン: underConstruction
    脆弱性:反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.19
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.19に更新する必要があります。

    28.DZSズームサウンド

    プラグイン: DZS Zoomsounds
    脆弱性:認証されていない任意のファイルのダウンロード
    バージョンでパッチが適用されました6.50
    重大度

    この脆弱性にはパッチが適用されているため、バージョン6.50に更新する必要があります。

    29.WooCommerceの動的価格設定と割引

    プラグイン: WooCommerceの動的価格設定と割引
    脆弱性:認証されていない設定が保存されたXSSにインポートされます
    バージョンでパッチが適用されました2.4.2
    重大度

    この脆弱性にはパッチが適用されているため、バージョン2.4.2に更新する必要があります。

    プラグイン: WooCommerceの動的価格設定と割引
    脆弱性:認証されていない設定のエクスポート
    バージョンでパッチが適用されました2.4.2
    重大度

    この脆弱性にはパッチが適用されているため、バージョン2.4.2に更新する必要があります。

    30.ソフトウェアライセンスマネージャー

    プラグイン:ソフトウェアライセンスマネージャー
    脆弱性:Admin +に保存されたクロスサイトスクリプティング
    バージョンでパッチが適用されました4.5.0
    重大度

    この脆弱性にはパッチが適用されているため、バージョン14.5.0に更新する必要があります。

    31.MotoPressによる時刻表とイベントスケジュール

    プラグイン: MotoPressによる時刻表とイベントスケジュール
    脆弱性:Author +に保存されたクロスサイトスクリプティング
    バージョンでパッチが適用されました2.3.19
    重大度

    この脆弱性にはパッチが適用されているため、バージョン2.3.19に更新する必要があります。

    32.簡単なソーシャルアイコン

    プラグイン:簡単なソーシャルアイコン
    脆弱性:反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました3.1.0
    重大度

    この脆弱性にはパッチが適用されているため、バージョン3.1.0に更新する必要があります。

    33.QRCodeで寄付する

    プラグイン: QRCodeで寄付する
    脆弱性:保存されたクロスサイトスクリプティング
    バージョンでパッチが適用されました1.4.5
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.4.5に更新する必要があります。

    プラグイン: QRCodeで寄付する
    脆弱性:CSRFを介したプラグインの設定の更新
    バージョンでパッチが適用されました既知の修正はありません
    重大度

    この脆弱性にはパッチが適用されていません。 パッチがリリースされるまで、プラグインをアンインストールして削除します。

    34.XOイベントカレンダー

    プラグイン: XOイベントカレンダー
    脆弱性:反映されたクロスサイトスクリプティング
    バージョンでパッチが適用されました2.3.7
    重大度

    この脆弱性にはパッチが適用されているため、バージョン2.3.7に更新する必要があります。

    35.ワトゥクイズ

    プラグイン:ワトゥクイズ
    脆弱性:question-form.html.phpを介して反映されたXSS
    バージョンでパッチが適用されました3.1.2.6
    重大度

    この脆弱性にはパッチが適用されているため、バージョン3.1.2.6に更新する必要があります。

    36.グーテンベルクテンプレートライブラリとReduxフレームワーク

    プラグイン: GutenbergテンプレートライブラリとReduxフレームワーク
    脆弱性:Contributor +任意のプラグインのインストールと削除後
    バージョンでパッチが適用されました4.2.13
    重大度

    この脆弱性にはパッチが適用されているため、バージョン1.2.13に更新する必要があります。

    37.ニャーギャラリー

    プラグイン: Meow Gallery
    脆弱性:RESTAPIを介した不正な任意のオプションの更新
    バージョンでパッチが適用されました4.2.0
    重大度

    この脆弱性にはパッチが適用されているため、バージョン4.2.0に更新する必要があります。

    プラグイン: Meow Gallery
    脆弱性:Contributor + SQLインジェクション
    バージョンでパッチが適用されました4.1.9
    重大度

    この脆弱性にはパッチが適用されているため、バージョン4.1.9に更新する必要があります。

    38.WPマパポリティコエスパーニャ

    プラグイン: WP Mapa Politico Espana
    脆弱性:認証済みの保存されたクロスサイトスクリプティング
    バージョンでパッチが適用されました3.7.0
    重大度

    この脆弱性にはパッチが適用されているため、バージョン3.7.0に更新する必要があります。

    39.WPアップロードの制限

    プラグイン: WPアップロード制限
    脆弱性:getSelectedMimeTypesByRoleにアクセス制御がありません
    バージョンでパッチが適用されました2.2.5
    重大度

    この脆弱性にはパッチが適用されているため、バージョン2.2.5に更新する必要があります。

    プラグイン: WPアップロード制限
    脆弱性:deleteCustomTypeにアクセス制御がありません
    バージョンでパッチが適用されました2.2.5
    重大度

    この脆弱性にはパッチが適用されているため、バージョン2.2.5に更新する必要があります。

    プラグイン: WPアップロード制限
    脆弱性:認証済みの保存済みXSS
    バージョンでパッチが適用されました2.2.5
    重大度

    この脆弱性にはパッチが適用されているため、バージョン2.2.5に更新する必要があります。

    WordPressテーマの脆弱性

    今月、新しいWordPressテーマの脆弱性は公開されていません。

    責任ある開示に関する注記

    ハッカーに攻撃のエクスプロイトを与える場合、なぜ脆弱性が開示されるのか疑問に思われるかもしれません。 そうですね、セキュリティ研究者が脆弱性を見つけてソフトウェア開発者に非公開で報告することは非常に一般的です。

    責任ある開示により、研究者の最初のレポートは、ソフトウェアを所有する会社の開発者に非公開で作成されますが、パッチが利用可能になったら完全な詳細が公開されることに同意します。 重大なセキュリティの脆弱性については、より多くの人にパッチを適用する時間を与えるために、脆弱性の開示がわずかに遅れる場合があります。

    セキュリティ研究者は、ソフトウェア開発者がレポートに応答するか、パッチを提供する期限を提供する場合があります。 この期限に間に合わない場合、研究者は、パッチを発行するように開発者に圧力をかける脆弱性を公開する可能性があります。

    脆弱性を公開し、ゼロデイ脆弱性(パッチがなく、実際に悪用されているタイプの脆弱性)を導入しているように見えると、逆効果に見える可能性があります。 しかし、それは、研究者が開発者に脆弱性にパッチを当てるように圧力をかけなければならない唯一の手段です。

    ハッカーが脆弱性を発見した場合、彼らはエクスプロイトを静かに使用してエンドユーザー(これはあなたです)に損害を与える可能性がありますが、ソフトウェア開発者は脆弱性にパッチを適用しないままにしておくことに満足しています。 GoogleのProjectZeroには、脆弱性の開示に関して同様のガイドラインがあります。 脆弱性にパッチが適用されているかどうかに関係なく、90日後に脆弱性の完全な詳細を公開します。

    脆弱なプラグインやテーマからWordPressウェブサイトを保護する方法

    このレポートからわかるように、多くの新しいWordPressプラグインとテーマの脆弱性が毎週公開されています。 報告されたすべての脆弱性の開示を把握するのは難しい場合があるため、iThemes Security Proプラグインを使用すると、既知の脆弱性を持つテーマ、プラグイン、またはWordPressコアバージョンがサイトで実行されていないことを簡単に確認できます。

    1. iThemes SecurityProサイトスキャナーをオンにします

    iThemes SecurityProプラグインのSiteScannerは、WordPressサイトがハッキングされる最大の理由をスキャンします。古いプラグインと既知の脆弱性を持つテーマです。 サイトスキャナーは、既知の脆弱性についてサイトをチェックし、パッチが利用可能な場合は自動的に適用します。

    新規インストールでサイトスキャンを有効にするには、プラグイン内の[機能]メニューの[サイトチェック]タブに移動し、トグルをクリックしてサイトスキャンを有効にします

    この画像には空のalt属性があります。そのファイル名はenable-site-scan-1-1024x519.pngです。

    手動のサイトスキャンをトリガーするには、サイトスキャンセキュリティダッシュボードカードの[今すぐスキャン]ボタンをクリックします。

    この画像には空のalt属性があります。そのファイル名はSite-Scans-Security-Card.pngです。

    サイトスキャンで脆弱性が検出された場合は、脆弱性のリンクをクリックして詳細ページを表示します。

    この画像には空のalt属性があります。そのファイル名はvulnerabilities-details-page-1024x580.pngです。

    サイトスキャンの脆弱性ページで、脆弱性に対して利用可能な修正があるかどうかを確認します。 利用可能なパッチがある場合は、[プラグイン更新]ボタンをクリックして、Webサイトに修正を適用できます。

    2.脆弱性が修正された場合は、バージョン管理をオンにして自動更新します

    iThemes Security Proのバージョン管理機能は、サイトスキャンと統合されており、古いソフトウェアが十分に迅速に更新されていない場合にサイトを保護します。 Webサイトで脆弱なソフトウェアを実行している場合、最も強力なセキュリティ対策でさえ失敗します。 これらの設定は、既知の脆弱性が存在し、パッチが利用可能な場合に新しいバージョンに自動的に更新するオプションでサイトを保護するのに役立ちます。

    iThemes Security Proの[設定]ページから、[機能]画面に移動します。 [サイトチェック]タブをクリックします。 ここから、トグルを使用してバージョン管理を有効にします。 設定ギアを使用すると、iThemes Security ProでWordPressの更新、プラグイン、テーマ、追加の保護を処理する方法など、さらに多くの設定を構成できます。

    [脆弱性が修正された場合は自動更新]ボックスを選択して、サイトスキャナーによって検出された脆弱性が修正された場合にiThemes SecurityProがプラグインまたはテーマを自動的に更新するようにしてください。

    iThemes SecurityProバージョン管理

    3. iThemes SecurityProがサイトに既知の脆弱性を発見したときに電子メールアラートを受け取る

    Site Scan Schedulingを有効にしたら、プラグインの通知センター設定に移動します。 この画面で、[サイトスキャン結果]セクションまでスクロールします。

    この画像には空のalt属性があります。そのファイル名はsite-scan-results-1024x550.jpgです。

    ボックスをクリックして通知メールを有効にし、 [設定を保存]ボタンをクリックします

    これで、スケジュールされたサイトスキャン中に、iThemes SecurityProが既知の脆弱性を発見した場合に電子メールが送信されます。 メールは次のようになります。

    サイトスキャン結果

    iThemes Security Proを入手して、今夜は少し楽に休憩

    WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

    • プラグインとテーマの脆弱性のためのサイトスキャナー
    • リアルタイムのウェブサイトセキュリティダッシュボード
    • ファイル変更の検出
    • WordPressのセキュリティログ
    • 信頼できるデバイス
    • reCAPTCHA
    • ブルートフォースプロテクション
    • 二要素認証
    • マジックログインリンク
    • 特権の昇格
    • 侵害されたパスワードのチェックと拒否

    iThemes SecurityProを入手する

    ワードプレスの脆弱性レポート