WordPressの脆弱性のまとめ:2020年1月、パート1

公開: 2020-08-18

新しいWordPressプラグインとテーマの脆弱性は、1月の前半に公開されたため、お知らせします。 この投稿では、最近のWordPressプラグイン、テーマ、コアの脆弱性、および脆弱なプラグインまたはテーマの1つをWebサイトで実行している場合の対処方法について説明します。

WordPressの脆弱性のまとめは、次の4つのカテゴリに分類されます。

  • 1.WordPressコア
  • 2.WordPressプラグイン
  • 3.WordPressテーマ
  • 4.ウェブ全体からの違反

注:以下にリストされている2020年1月の前半の脆弱性要約チャートにスキップできます。

WordPressのコアの脆弱性

2020年1月に公開されたWordPressの脆弱性はありません。

WordPressプラグインの脆弱性

今月、これまでにいくつかの新しいWordPressプラグインの脆弱性が発見されました。 プラグインを更新するか、完全にアンインストールするには、以下の推奨アクションに従ってください。

1.ドナーボックス

ドナーボックスのロゴ

Donorboxバージョン7.1および7.1.1は、Stored Cross-Site RequestForgery攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン7.1.2に更新する必要があります。

2.クイズと調査マスター

クイズと調査マスターのロゴ

クイズおよびサーベイマスターバージョン6.3.4以下は、Authenticated ReflectedXSS攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン6.3.5に更新する必要があります。

3.301リダイレクト

301-リダイレクト-ロゴ

301リダイレクトバージョン2.4.0以下には、認証された任意のリダイレクトインジェクションと変更、XSS、CSRFなどの複数の脆弱性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.45に更新する必要があります。

4.レンコントル

Rencontreロゴ

Rencontreバージョン3.2.2以下には、複数のクロスサイトリクエストフォージェリの脆弱性が含まれています。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン3.2.3に更新する必要があります。

5.URLからの注目の画像

URLロゴからの注目の画像

URLバージョン2.7.7以下の注目の画像には、RESTルートのアクセス制御が欠落しているため、認証の脆弱性が発生します。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.7.8に更新する必要があります。

6.bbPressメンバーのみ

bbPressメンバー専用ロゴ

bbPressメンバーのみバージョン1.2.1以下は、プラグインのオプション設定ページでのクロスサイトリクエストフォージェリ攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.3.1に更新する必要があります。

7.フォーラムトピックページのbbPressログイン登録リンク

bbPressログインフォーラムトピックページのリンクを登録するロゴ

フォーラムトピックページのbbPressログイン登録リンクバージョン2.7.5以下には、クロスサイトスクリプティング攻撃につながる可能性のあるクロスサイトリクエストフォージェリの脆弱性が含まれています。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.8.5に更新する必要があります。

8. GDPRCookieコンプライアンス

GDPRCookieコンプライアンスロゴ

GDPR Cookieコンプライアンスバージョン4.0.2以下には、認証されたユーザーがプラグイン設定を削除できるようにする機能チェックとセキュリティナンスがありません。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン4.0.3に更新する必要があります。

9.フォトギャラリー

フォトギャラリーのロゴ

フォトギャラリーバージョン2.0.6以下は、任意のプラグイン非アクティブ化攻撃に対する脆弱性です。 プラグインは機能をチェックせず、サブスクライバーがWordPress AJAXAPIを介してプラグインを非アクティブ化できるようにします。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.0.7に更新する必要があります。

10.最小限の近日発売&メンテナンスモード

最小限の近日公開ページのロゴ

Minimal Coming Soon&Maintenance Modeバージョン2.10以下には、認証されたユーザーがプラグインを有効、無効にし、設定をインポート/エクスポートできる安全でない権限の欠陥など、複数の脆弱性があります。 プラグインには、クロスサイト偽造から保存されたXSSおよび設定変更の脆弱性も含まれています。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.17に更新する必要があります。

11.WooCommerceコンバージョントラッキング

WooCommerceコンバージョントラッキングロゴ

WooCommerce Conversion Trackingバージョン2.04以下は、クロスサイト偽造リクエストに対して脆弱であり、StoredXSS攻撃につながります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.0.5に更新する必要があります。

12.ポスティ

Postieロゴ

Postieバージョン1.9.40以下には、Post Spoofing and Stored XSSの脆弱性があり、認証されていないユーザーが新しい投稿を公開する可能性があります。 これはゼロデイ脆弱性であり、Postieプラグインを悪用する手順は誰でも簡単に見つけることができます。

あなたがすべきこと

WordPress.orgは2019年1月8日にPostieを閉鎖したので、プラグインを削除して代替品を見つけることをお勧めします。

13.メタを使用してCSVからユーザーをインポートする

メタロゴ付きのCSVからユーザーをインポートする

メタバージョン1.15を使用したCSVからのユーザーのインポートには、認証されていないユーザーのエクスポートの脆弱性があります。 機能チェックが欠落していると、権限のないユーザーがWordPressユーザーをエクスポートできるようになります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.15.0.1に更新する必要があります。

14.究極のFAQ

究極のFAQロゴ

Ultimate FAQバージョン1.8.29以下には、Unauthenticated ReflectedXSSの脆弱性があります。 FAQショートコードはDisplay_FAQGETパラメーターをサニタイズしないため、ショートコードが表示されているページでリフレクトクロスサイトスクリプティング攻撃が発生する可能性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.8.30に更新する必要があります。

15.Google用のWPシンプルスプレッドシートフェッチャー

Googleロゴ用のWPシンプルスプレッドシートフェッチャー

WP Simple Spreadsheet Fetcher Googleバージョン0.3.6以下には、攻撃者が任意のAPIキーを設定できる可能性のあるクロスサイト偽造リクエストの脆弱性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン0.3.7に更新する必要があります。

16. WP TimeCapsuleによるバックアップとステージング

WP TimeCapsuleロゴによるバックアップとステージング

WP TimeCapsuleバージョン1.21.15によるバックアップとステージング
以下には、攻撃者が管理者ユーザーとしてログインすることを可能にする認証バイパスの脆弱性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.21.16に更新する必要があります。

17.InfiniteWPクライアント

InfiniteWPクライアントロゴ

InfiniteWPクライアントバージョン1.9.4.4以下には、攻撃者が管理者ユーザーとしてログインできる認証バイパスの脆弱性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.9.4.5に更新する必要があります。

18.究極のオークション

究極のオークションロゴ

Ultimate Auctionバージョン4.0.5以下には、複数のクロスサイトリクエストフォージェリとクロスサイトスクリプティングの脆弱性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン4.0.6に更新する必要があります。

19. WooCommerce –ストアエクスポーター

WooCommerce-ストアエクスポーターのロゴ

WooCommerce – Store Exporterバージョン2.3.1以下は、CSVインジェクション攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.4に更新する必要があります。

20.素晴らしいサポート

素晴らしいサポートロゴ

Awesome Supportバージョン5.7.1以下は、保存されたXSS攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン5.8.0に更新する必要があります。

21.管理ダッシュボードのビデオ

管理ダッシュボードロゴのビデオ

管理ダッシュボードバージョン1.1.3以下のビデオは、Authenticated StoredXSS攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.1.4に更新する必要があります。

22.コンピューター修理店

コンピューター修理店のロゴ

Computer Repair Shopバージョン1.0は、Authenticated StoredXSS攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.0に更新する必要があります。

23. LearnDash

LearnDashロゴ

LearnDashバージョン3.1.1以下は、リフレクトクロスサイトスクリプティング攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン3.1.2に更新する必要があります。

WordPressテーマ

1. ListingPro

ListingProロゴ

ListingProバージョン2.5.3以下は、認証されていないリフレクトXSS攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.5.4に更新する必要があります。

2.旅行の予約

旅行予約ロゴ

旅行予約バージョン2.7.8.5以下には、Reflected&PersistentXSSの脆弱性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.7.8.6に更新する必要があります。

3.エレガントテーマDiviビルダー

エレガントなテーマのロゴ

バージョン4.0.10より前のElegantThemesDivi、Divi Builder、およびExtraは、Authenticated CodeInjection攻撃に対して脆弱です。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン4.0.10に更新する必要があります。

4. EasyBook

EasyBookロゴ

EasyBookバージョン1.2.1以下には、認証されていないリフレクトXSS、認証された永続XSS、安全でない直接オブジェクト参照など、複数の脆弱性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.2.2に更新する必要があります。

5. TownHub

TownHubロゴ

TownHubバージョン1.0.5以下には、認証されていないリフレクトXSS、認証された永続XSS、安全でない直接オブジェクト参照など、複数の脆弱性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン1.0.6に更新する必要があります。

6. CityBook

CityBookテーマ

CityBookバージョン2.9.4以下には、認証されていないリフレクトXSS、認証された永続XSS、安全でない直接オブジェクト参照など、複数の脆弱性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.9.5に更新する必要があります。

7.不動産7

不動産7ロゴ

Real Estate 7バージョン2.3.3以下には、認証されていないリフレクトXSS、認証された永続XSS、安全でない直接オブジェクト参照など、複数の脆弱性があります。

あなたがすべきこと

この脆弱性にはパッチが適用されているため、バージョン2.3.4に更新する必要があります。

WordPressのテーマとプラグインの脆弱性について積極的になる方法

古いソフトウェアを実行することが、WordPressサイトがハッキングされる最大の理由です。 WordPressサイトのセキュリティにとって、更新ルーチンがあることは非常に重要です。 更新を実行するには、少なくとも週に1回はサイトにログインする必要があります。

自動更新が役立ちます

自動更新は、あまり頻繁に変更されないWordPressWebサイトに最適です。 注意が不足していると、これらのサイトは無視され、攻撃に対して脆弱になることがよくあります。 推奨されるセキュリティ設定があっても、サイトで脆弱なソフトウェアを実行すると、攻撃者がサイトへのエントリポイントを与える可能性があります。

iThemes Security Proプラグインのバージョン管理機能を使用すると、WordPressの自動更新を有効にして、最新のセキュリティパッチを確実に入手できます。 これらの設定は、新しいバージョンに自動的に更新したり、サイトのソフトウェアが古くなったときにユーザーのセキュリティを強化したりするオプションでサイトを保護するのに役立ちます。

バージョン管理の更新オプション
  • WordPressアップデート–最新のWordPressリリースを自動的にインストールします。
  • プラグインの自動更新–最新のプラグインの更新を自動的にインストールします。 このサイトを毎日積極的に保守し、更新がリリースされた直後に手動でインストールしない限り、これを有効にする必要があります。
  • テーマの自動更新–最新のテーマの更新を自動的にインストールします。 テーマにファイルのカスタマイズがない限り、これを有効にする必要があります。
  • プラグインとテーマの更新をきめ細かく制御–手動で更新するか、リリースが安定するまで更新を遅らせたいプラグイン/テーマがある場合があります。 各プラグインまたはテーマを割り当てて、すぐに更新する(有効にする)か、まったく自動的に更新しない(無効にする)か、指定した日数の遅延で更新する(遅延)ようにする機会として、カスタムを選択できます。
重大な問題の強化と警告
  • 古いソフトウェアを実行しているときにサイトを強化する–利用可能なアップデートが1か月間インストールされていない場合、サイトに保護を自動的に追加します。 iThemes Securityプラグインは、アップデートが1か月間インストールされていない場合、より厳密なセキュリティを自動的に有効にします。 まず、2要素が有効になっていないすべてのユーザーに、再度ログインする前に自分の電子メールアドレスに送信されたログインコードを提供するように強制します。次に、WPファイルエディターを無効にします(プラグインまたはテーマコードの編集をブロックします)。 、XML-RPC pingback、およびXML-RPC要求ごとの複数の認証試行をブロックします(どちらも、XML-RPCを完全にオフにすることなく、攻撃に対してより強力にします)。
  • 他の古いWordPressサイトをスキャンする–これにより、ホスティングアカウントに他の古いWordPressインストールがないかチェックされます。 脆弱性のある単一の古いWordPressサイトでは、攻撃者が同じホスティングアカウント上の他のすべてのサイトを侵害する可能性があります。
  • 電子メール通知の送信–介入が必要な問題については、管理者レベルのユーザーに電子メールが送信されます。

複数のWPサイトを管理していますか? iThemes Syncダッシュボードからプラグイン、テーマ、コアを一度に更新

iThemes Syncは、複数のWordPressサイトの管理に役立つ中央ダッシュボードです。 同期ダッシュボードから、すべてのサイトで利用可能な更新を表示し、プラグイン、テーマ、およびWordPressコアをワンクリックで更新できます。 新しいバージョンのアップデートが利用可能になったときに、毎日電子メール通知を受け取ることもできます。


30日間無料で同期をお試しください詳細

Web全体からの違反

WordPressエコシステムの外部の脆弱性にも注意することが不可欠であるため、Web全体からの違反を含めます。 サーバーソフトウェアを悪用すると、機密データが公開される可能性があります。 データベースの侵害により、サイト上のユーザーの資格情報が公開され、攻撃者がサイトにアクセスする可能性があります。

1.NSAがWindows10の脆弱性を発見

Windows10ロゴ

NSAは危険なMicrosoftソフトウェアの欠陥を発見したので、最新のWindowsセキュリティパッチがあることを確認してください。 この脆弱性は、証明書と暗号化メッセージング機能を処理するWindowscrypt32.dllに関連しています。 悪用された場合、ハッカーはこの脆弱性を利用してデジタル署名を偽造する可能性があります。

2020年1月のWordPressの脆弱性の概要、パート1

タイプ
脆弱性
修理

2020年1月の前半には、WordPressCoreの脆弱性は公開されていません。

プラグイン
Donorboxバージョン7.1および7.1.1は、Stored Cross-Site RequestForgery攻撃に対して脆弱です。
この脆弱性にはパッチが適用されているため、バージョン7.1.2に更新する必要があります。

クイズおよびサーベイマスターバージョン6.3.4以下は、Authenticated ReflectedXSS攻撃に対して脆弱です。
この脆弱性にはパッチが適用されているため、バージョン6.3.5に更新する必要があります。

301リダイレクトバージョン2.4.0以下には、認証された任意のリダイレクトインジェクションと変更、XSS、CSRFなどの複数の脆弱性があります。
この脆弱性にはパッチが適用されているため、バージョン2.45に更新する必要があります。

Rencontreバージョン3.2.2以下には、複数のクロスサイトリクエストフォージェリの脆弱性が含まれています。
この脆弱性にはパッチが適用されているため、バージョン3.2.3に更新する必要があります。

URLバージョン2.7.7以下の注目の画像には、RESTルートのアクセス制御が欠落しているため、認証の脆弱性が発生します。

この脆弱性にはパッチが適用されているため、バージョン2.7.8に更新する必要があります。

bbPressメンバーのみバージョン1.2.1以下は、プラグインのオプション設定ページでのクロスサイトリクエストフォージェリ攻撃に対して脆弱です。

この脆弱性にはパッチが適用されているため、バージョン1.3.1に更新する必要があります。

フォーラムトピックページのbbPressログイン登録リンクバージョン2.7.5以下には、クロスサイトスクリプティング攻撃につながる可能性のあるクロスサイトリクエストフォージェリの脆弱性が含まれています。

この脆弱性にはパッチが適用されているため、バージョン2.8.5に更新する必要があります。

GDPR Cookieコンプライアンスバージョン4.0.2以下には、認証されたユーザーがプラグイン設定を削除できるようにする機能チェックとセキュリティナンスがありません。

この脆弱性にはパッチが適用されているため、バージョン4.0.3に更新する必要があります。

フォトギャラリーバージョン2.0.6以下は、任意のプラグイン非アクティブ化攻撃に対する脆弱性です

この脆弱性にはパッチが適用されているため、バージョン2.0.7に更新する必要があります。

Minimal Coming Soon&Maintenance Modeバージョン2.10以下には、複数の脆弱性があります

この脆弱性にはパッチが適用されているため、バージョン2.17に更新する必要があります。

WooCommerce Conversion Trackingバージョン2.04以下は、クロスサイト偽造リクエストに対して脆弱であり、StoredXSS攻撃につながります。

この脆弱性にはパッチが適用されているため、バージョン2.0.5に更新する必要があります。

Postieバージョン1.9.40以下には、Post Spoofing and Stored XSSの脆弱性があり、認証されていないユーザーが新しい投稿を公開する可能性があります。 これはゼロデイ脆弱性であり、Postieプラグインを悪用する手順は誰でも簡単に見つけることができます。

WordPress.orgは2019年1月8日にPostieを閉鎖したので、プラグインを削除して代替品を見つけることをお勧めします。

メタバージョン1.15を使用したCSVからのユーザーのインポートには、認証されていないユーザーのエクスポートの脆弱性があります。 機能チェックが欠落していると、権限のないユーザーがWordPressユーザーをエクスポートできるようになります。

この脆弱性にはパッチが適用されているため、バージョン1.15.0.1に更新する必要があります。

Ultimate FAQバージョン1.8.29以下には、Unauthenticated ReflectedXSSの脆弱性があります。 FAQショートコードはDisplay_FAQGETパラメーターをサニタイズしないため、ショートコードが表示されているページでリフレクトクロスサイトスクリプティング攻撃が発生する可能性があります。

この脆弱性にはパッチが適用されているため、バージョン1.8.30に更新する必要があります。

WP Simple Spreadsheet Fetcher Googleバージョン0.3.6以下には、攻撃者が任意のAPIキーを設定できる可能性のあるクロスサイト偽造リクエストの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン0.3.7に更新する必要があります。

WP Time Capsuleバージョン1.21.15以下によるバックアップとステージングには、攻撃者が管理者ユーザーとしてログインすることを可能にする認証バイパスの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン1.21.16に更新する必要があります。

InfiniteWPクライアントバージョン1.9.4.4以下には、攻撃者が管理者ユーザーとしてログインできる認証バイパスの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン1.9.4.5に更新する必要があります。

Ultimate Auctionバージョン4.0.5以下には、複数のクロスサイトリクエストフォージェリとクロスサイトスクリプティングの脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン4.0.6に更新する必要があります。

WooCommerce – Store Exporterバージョン2.3.1以下は、CSVインジェクション攻撃に対して脆弱です。

この脆弱性にはパッチが適用されているため、バージョン2.4に更新する必要があります。

Awesome Supportバージョン5.7.1以下は、保存されたXSS攻撃に対して脆弱です。

この脆弱性にはパッチが適用されているため、バージョン5.8.0に更新する必要があります。

管理ダッシュボードバージョン1.1.3以下のビデオは、Authenticated StoredXSS攻撃に対して脆弱です。

この脆弱性にはパッチが適用されているため、バージョン1.1.4に更新する必要があります。

Computer Repair Shopバージョン1.0は、Authenticated StoredXSS攻撃に対して脆弱です。

この脆弱性にはパッチが適用されているため、バージョン2.0に更新する必要があります。

LearnDashバージョン3.1.1以下は、リフレクトクロスサイトスクリプティング攻撃に対して脆弱です。

この脆弱性にはパッチが適用されているため、バージョン3.1.2に更新する必要があります。

テーマ
ListingProバージョン2.5.3以下は、認証されていないリフレクトXSS攻撃に対して脆弱です。
この脆弱性にはパッチが適用されているため、バージョン2.5.4に更新する必要があります。

旅行予約バージョン2.7.8.5以下には、Reflected&PersistentXSSの脆弱性があります。
この脆弱性にはパッチが適用されているため、バージョン2.7.8.6に更新する必要があります。

バージョン4.0.10より前のElegantThemesDivi、Divi Builder、およびExtraは、Authenticated CodeInjection攻撃に対して脆弱です。
この脆弱性にはパッチが適用されているため、バージョン4.0.10に更新する必要があります。

EasyBookバージョン1.2.1以下には、認証されていないリフレクトXSS、認証された永続XSS、安全でない直接オブジェクト参照など、複数の脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン1.2.2に更新する必要があります。

TownHubバージョン1.0.5以下には、認証されていないリフレクトXSS、認証された永続XSS、安全でない直接オブジェクト参照など、複数の脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン1.0.6に更新する必要があります。

CityBookバージョン2.9.4以下には、認証されていないリフレクトXSS、認証された永続XSS、安全でない直接オブジェクト参照など、複数の脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン2.9.5に更新する必要があります。

Real Estate 7バージョン2.3.3以下には、認証されていないリフレクトXSS、認証された永続XSS、安全でない直接オブジェクト参照など、複数の脆弱性があります。

この脆弱性にはパッチが適用されているため、バージョン2.3.4に更新する必要があります。

WordPressセキュリティプラグインはあなたのウェブサイトを保護するのに役立ちます

WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための30以上の方法を提供します。 WordPress、2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

WordPressのセキュリティの詳細については、10の重要なヒントをご覧ください。 今すぐ電子ブックをダウンロードする: WordPressセキュリティのガイド
ダウンロード中

iThemesセキュリティを取得する