• !

  公開日:   最終更新日:

【2022年最新・随時更新】WordPress脆弱性情報まとめ(プラグイン・コア・テーマ)

2022年に確認された、WordPressに関する脆弱性情報・セキュリティ情報をまとめています。プラグイン・テーマの脆弱性情報は、CVSS 3.1 スコアが中程度より高いもので、日本国内での使用状況を鑑みて抽出しています。情報ソースは、NVD・MITRE(CVE)・patchstack・Wordfenceなどです。

Contents

2022年: WordPress脆弱性情報まとめ

WP_Labでは、WordPessサイトを誰でも安全に運用できるよう、WordPressコアやプラグインはできるだけ最新のバージョンを使うことをお勧めしており、その為の注意喚起とすべく、脆弱性情報を発信しています。

このページには、2022年に確認された、WordPressに関する脆弱性情報・セキュリティ情報をまとめています。

プラグイン・テーマの脆弱性情報は、CVSS 3.1 スコアが中程度より高いもので、日本国内での使用状況を鑑みて抽出しています。

情報ソースは、NVDMITRE(CVE)patchstackWordfenceなどです。

日本国内の使用状況については、WP Labによる調査に基づきます。

リリース日等の日付情報は、時差の為に日本時間と異なる場合があります。

リンクとなっている個別の投稿については、発信当時に収集した最新情報で、PoCや脆弱性が発生する細かい条件等が出る前のものが多数あります。速報として発信しており、コード解析や脆弱性を悪用される特定の条件等が明確になっていないものも多数あることをご承知おきください。

WordPress コア

2022.01.6のセキュリティリリース(詳細

3.7系から5.8系までの全てのブランチが更新されています

2022.03.10のセキュリティリリース(詳細

この更新では、3つのセキュリティ修正と1つのバグ修正が行われました。

当時最新であった5.9系から遡り、3.7系まで更新されています。

パッチバージョン一覧

5.9ブランチ→5.9.2 5.8ブランチ→5.8.4 5.7ブランチ→5.7.6 5.6ブランチ→5.6.8 5.5ブランチ→5.5.9 5.4ブランチ→5.4.10

5.3ブランチ→5.3.12 5.2ブランチ→5.2.15 5.1ブランチ→5.1.13 5.0ブランチ→5.0.16

4.9ブランチ→4.9.20 4.8ブランチ→4.8.19 4.7ブランチ→4.7.23 4.6ブランチ→4.6.23 4.5ブランチ→4.5.26

4.4ブランチ→4.4.27 4.3ブランチ→4.3.28 4.2ブランチ→4.2.32 4.1ブランチ→4.1.35 4.0ブランチ→4.0.35

3.9ブランチ→3.9.36 3.8ブランチ→3.8.38 3.7ブランチ→3.7.38

2022.08.31のセキュリティリリース(詳細はこちら

3.7系から6.0系までの全てのブランチが更新されています。

2022.10.17のセキュリティリリース(詳細はこちら)

3.7系から6.0系までの全てのブランチが更新されています。

WordPressプラグイン

PHP Everywhere

情報開示時期:2022年1月

CVSSスコア:9.9(クリティカル)

対象バージョン:<=2.0.3

パッチバージョン:3.0

内容:contributer(寄稿者)レベルのアクセスでのリモートコード実行

CVE-ID:CVE-2022-24663, CVE-2022-24664

WP Statistics

情報開示時期:2022年2月

CVSSスコア:9.8(クリティカル)

対象バージョン:<=13.1.4,<=13.1.5

パッチバージョン:13.1.6

内容:SQLインジェクション

CVE-ID: CVE-2022-0651, CVE-2022-25149, CVE-2022-25148

Contact Form 7 Multi-Step Forms

情報開示時期:2022年2月

CVSSスコア:4.3

対象バージョン:<4.1.91

パッチバージョン:4.1.91

内容:プラグインの使用するFreemius Frameworkによる脆弱性(CSRFほか)

Updrafts Plus

情報開示時期:2022年2月

CVSSスコア:8.5(高)

対象バージョン:1.16.7-1.22.2

パッチバージョン:1.22.3

内容:subscriber(購読者)レベルを含むすべてのログインユーザーがブラグイン作成のバックアップをDLできる

CVE-ID:CVE-2022-0633

Header Footer Code Manager

情報開示時期:2022年2月

CVSSスコア:6.1(中)

対象バージョン:<=1.1.16

パッチバージョン:1.1.17

内容:反射型XSS

CVE-ID:CVE-2022-0710

Advanced Custom Fields

情報開示時期:2022年3月

CVSSスコア:6.5(中)

対象バージョン:<=5.12

パッチバージョン:5.12.1

内容:認証欠如の脆弱性

CVE-ID:CVE-2022-23183

(JVN による情報はこちら

Responsive Menu

情報開示時期:2022年3月

CVSSスコア:8.3(高)

対象バージョン:<=1.2.5

パッチバージョン:1.2.6

内容:ナンストークンのリークによる、認証ユーザーの任意のファイルアップロード等

CVE-ID:CVE-2022-25602

Ninja Forms – File Uploads Extension

情報開示時期:2022年3月

CVSSスコア:9.8(クリティカル)

対象バージョン:<=3.3.0

パッチバージョン:3.3.1

内容:任意のファイルアップロード

CVE-ID:CVE-2022-0888

Ninja Forms – File Uploads Extension

情報開示時期:2022年3月

CVSSスコア:6.1(中)

対象バージョン:<=3.3.12

パッチバージョン:3.3.13

内容:反射型XSS

CVE-ID:CVE-2022-0889

Elementor Website Builder

情報開示時期:2022年3月

CVSSスコア:9.9(クリティカル)

対象バージョン:3.6.0-3.6.2

パッチバージョン:3.6.3

内容:subscriber(購読者)レベルを含むすべてのログインユーザーによるリモートコード実行の脆弱性

CVE-ID:CVE-2022-1329

GTM4WP(Google Tag Manager for WordPress)

詳細はこちら

GTM4WP(Google Tag Manager for WordPress)

詳細はこちら

Download Manager

詳細はこちら

Ninja Forms Contact Form

詳細はこちら

WP Maintenance Mode & Coming Soon

詳細はこちら

Elementor Website Builder

詳細はこちら

WordPress Popular Posts

詳細はこちら

Download Manager

詳細はこちら

Visualizer

詳細はこちら

CAPTCHA 4WP

詳細はこちら

Feed Them Social

詳細はこちら

Modern WPBakery (The Kaswara Modern VC Addons):攻撃の増加についての注意喚起

詳細はこちら

Download Manager

詳細はこちら

Newletter

詳細はこちら

All In One Video Gallery

詳細はこちら

Broken Link Checker

詳細はこちら

Downloar Manager

詳細はこちら

All-in-One WP Migration

詳細はこちら

Visual Composer Website Builder

詳細はこちら

All-in-One SEO

詳細はこちら

Activity Log

詳細はこちら

Blog2Social

詳細はこちら

WP Super Cache

詳細はこちら

SearchWP Live Ajax Search

詳細はこちら

Activity Log

詳細はこちら

Smart Slider 3

詳細はこちら

Shortcodes Ultimate

詳細はこちら

Welcart eCommerce

詳細はこちら

Ultimate Member

詳細はこちら

WordPress Popular Posts

詳細はこちら

Download Manager

詳細はこちら

Welcart e-Commerce

詳細はこちら

Autoptimize

詳細はこちら

ProfilePress

詳細はこちら

Table of Contents Plus

詳細はこちら

WPtouch

詳細はこちら

Smash Balloon Social Post Feed

詳細はこちら

Font Awesome

詳細はこちら

Download Manager

詳細はこちら

WordPressテーマ

Jupiter, Jupiter X Premium

詳細はこちら

Newspaper

詳細はこちら

Avada

詳細はこちら

Newspaperテーマ(付属プラグインtagDiv Composerの脆弱性)

詳細はこちら