WordPress(ワードプレス)脆弱性のあるプラグイン

security_202

Webサイトを構築するのに便利なツールである「WordPress」。プラグインを入れるだけで、多くの機能を使うことが可能になり、HTMLやCSSなどWeb言語の知識をそれほど知っていなくてもプロ並みのサイトを作れてしまうというすぐれものです。

便利なプラグインですが、脆弱性の報告をされています。便利ですが、セキュリティ対策をしっかり行っておかないとせっかく作ったWebサイトを壊されたり、犯罪の踏み台にされてしまいます。

ここでは、WordPressの脆弱性が報告されているプラグインをまとめました。運用しているWebサイトがWordPressの方は、プラグインが大丈夫か確認してください。

引っ越しプラグイン「Duplicator」に脆弱性

security_188

脆弱性タイプ

クロスサイトリクエストフォージェリ(CSRF)

発見バージョン

バージョン1.1.3以下

対応方法

対策版であるバージョン1.1.4にアップデートする
(2月12日現在の最新版です)

メルマガを送信することが出来るプラグイン「MailPoet Newsletters」に脆弱性

security_189

脆弱性タイプ

クロスサイトスクリプティング(XSS)

発見バージョン

バージョン2.6.19以下

対応方法

バージョン2.7以上にアップデートする
(2月3日現在の最新版です)

ファイルをダウンロードできるリンクをサイトに簡単に設置できるプラグイン「WordPress Download Manager」に複数の脆弱性

security_190

脆弱性タイプ

Privileges Escalation(特権昇格)
ディレクトリリスティング
不正なファイルダウンロード

発見バージョン

バージョン2.8.7以下

対応方法

修正版であるバージョン2.8.8以降のバージョンへアップデートする
(1月20日現在の最新版は2.8.9です)

ショッピングサイトを構築するためのプラグイン「Welcart」の旧版に脆弱性

security_191

脆弱性タイプ

SQL インジェクション

発見バージョン

Welcart V1.5.2 およびそれ以前

想定される影響

第三者による情報改ざんや搾取

対応方法

修正版である1.5.3以降のバージョンへアップデートする
(12月24日現在の最新版は1.6.6です)
(※Welcart 1.6.6 をリリースしました)

セキュリティプラグイン「Wordfence Security」にXSSの脆弱性

security_192

脆弱性タイプ

XSS (クロスサイトスクリプティング)

発見バージョン

6.0.21以下

対応方法

対策版である6.0.22へアップデートする

ECサイト化する超有名プラグイン「WooCommerce」にXSSの脆弱性

security_193

脆弱性タイプ

XSS (クロスサイトスクリプティング)

発見バージョン

2.4.8以下

対応方法

対策版である2.4.9へアップデートする
(11月18日現在の最新版は2.4.10です)

SNSを導入することができるプラグイン「BuddyPress」に脆弱性

security_194

脆弱性タイプ

Privilege Escalation(特権昇格)

発見バージョン

2.3.4以下

対応方法

対策版である
2.0.4, 2.1.2, 2.2.4, 2.3.5へアップデートする
(11月16日現在の最新版は2.4.0です)

問い合せフォームプラグイン「Fast Secure Contact Form」に脆弱性

security_195

脆弱性タイプ

XSS(クロスサイトスクリプティング)

発見バージョン

4.0.37以下

対応方法

対策版である4.0.38へアップデートする

セキュリティプラグイン「BulletProof Security」に脆弱性

security_196

脆弱性タイプ

XSS(クロスサイトスクリプティング)

発見バージョン

.52.4以下

対応方法

対策版である.52.5へアップデートする
(現在最新版は.52.8となっております)

PiwikとWordPressを統合するプラグイン「WP-Piwik」に脆弱性

security_197

脆弱性タイプ

XSS(クロスサイトスクリプティング)

発見バージョン

1.0.4以下

対応方法

対策版である1.0.5へアップデートする

自動的にスパムコメントを分類してくれるプラグイン「Akismet」に脆弱性

security_198

脆弱性タイプ

XSS(クロスサイトスクリプティング)

発見バージョン

2.5.0~3.1.4

対応方法

対策版である3.1.5へアップデートする

WEBフォントプラグイン「Font」に脆弱性

security_199

脆弱性タイプ

LFI (Local File Inclusion)(ローカル・ファイルインクルード)

発見バージョン

7.5以下

対応方法

対策版である7.5.1へアップデートする

複数種類の機能が利用できるプラグイン「Jetpack by WordPress.com」に脆弱性

security_200

脆弱性タイプ

XSS(クロスサイトスクリプティング)
Information Disclosure(情報漏えい)

発見バージョン

3.7.0以下

対応方法

対策版である3.7.1もしくは3.7.2へアップデートする

表示を高速化するキャッシュプラグイン「WP Super Cache」に脆弱性

security_201

脆弱性タイプ

XSS(クロスサイトスクリプティング)
PHP Object Injection(オブジェクト インジェクション)

発見バージョン

1.4.4以下

対応方法

脆弱性対策版である1.4.5へアップデートする

「NextGEN Gallery」に脆弱性がみつかる

security_213

脆弱性タイプ

LFI (Local File Inclusion)(ローカル・ファイルインクルード)
Path Traversal(パス・トラバーサル)

発見バージョン

2.1.7以下

対応方法

脆弱性対策版である2.1.9へアップデートする

アクセス解析プラグイン「Google Analyticator」に脆弱性

security_214

脆弱性タイプ

XSS(クロスサイトスクリプティング)

発見バージョン

6.4.9.4以下

対応方法

最新版である6.4.9.6へアップデートする

アクセス解析用プラグイン「Google Analytics by Yoast」に脆弱性

security_215

脆弱性タイプ

XSS(クロスサイトスクリプティング)

発見バージョン

5.4.4以下

対応方法

最新版である5.4.5へアップデートする

投稿された記事にコメントがあった際に通知してくれるプラグイン「Subscribe to Comments」に脆弱性

security_216

脆弱性タイプ

Local File Inclusion(LFI)

発見バージョン

2.1.2以下

対応方法

最新版である2.3へアップデートする

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る