脆弱性情報 公開日: 最終更新日:
【2022年最新・随時更新】WordPress脆弱性情報まとめ(プラグイン・コア・テーマ)
2022年に確認された、WordPressに関する脆弱性情報・セキュリティ情報をまとめています。プラグイン・テーマの脆弱性情報は、CVSS 3.1 スコアが中程度より高いもので、日本国内での使用状況を鑑みて抽出しています。情報ソースは、NVD・MITRE(CVE)・patchstack・Wordfenceなどです。
Contents
- 1 2022年: WordPress脆弱性情報まとめ
- 2 WordPress コア
- 3 WordPressプラグイン
- 3.1 PHP Everywhere
- 3.2 WP Statistics
- 3.3 Contact Form 7 Multi-Step Forms
- 3.4 Updrafts Plus
- 3.5 Header Footer Code Manager
- 3.6 Advanced Custom Fields
- 3.7 Responsive Menu
- 3.8 Ninja Forms – File Uploads Extension
- 3.9 Ninja Forms – File Uploads Extension
- 3.10 Elementor Website Builder
- 3.11 GTM4WP(Google Tag Manager for WordPress)
- 3.12 GTM4WP(Google Tag Manager for WordPress)
- 3.13 Download Manager
- 3.14 Ninja Forms Contact Form
- 3.15 WP Maintenance Mode & Coming Soon
- 3.16 Elementor Website Builder
- 3.17 WordPress Popular Posts
- 3.18 Download Manager
- 3.19 Visualizer
- 3.20 CAPTCHA 4WP
- 3.21 Feed Them Social
- 3.22 Modern WPBakery (The Kaswara Modern VC Addons):攻撃の増加についての注意喚起
- 3.23 Download Manager
- 3.24 Newletter
- 3.25 All In One Video Gallery
- 3.26 Broken Link Checker
- 3.27 Downloar Manager
- 3.28 All-in-One WP Migration
- 3.29 Visual Composer Website Builder
- 3.30 All-in-One SEO
- 3.31 Activity Log
- 3.32 Blog2Social
- 3.33 WP Super Cache
- 3.34 SearchWP Live Ajax Search
- 3.35 Activity Log
- 3.36 Smart Slider 3
- 3.37 Shortcodes Ultimate
- 3.38 Welcart eCommerce
- 3.39 Ultimate Member
- 3.40 WordPress Popular Posts
- 3.41 Download Manager
- 3.42 Welcart e-Commerce
- 3.43 Autoptimize
- 3.44 ProfilePress
- 3.45 Table of Contents Plus
- 3.46 WPtouch
- 3.47 Smash Balloon Social Post Feed
- 3.48 Font Awesome
- 3.49 Download Manager
- 3.50 MonsterInsights – Google Analytics Dashboard for WordPress
- 3.51 User Verification
- 3.52 WP Popups
- 3.53 Sitemap
- 3.54 Top 10 – Popular posts plugin for WordPress
- 3.55 WP Statistics
- 4 WordPressテーマ
2022年: WordPress脆弱性情報まとめ
WP_Labでは、WordPessサイトを誰でも安全に運用できるよう、WordPressコアやプラグインはできるだけ最新のバージョンを使うことをお勧めしており、その為の注意喚起とすべく、脆弱性情報を発信しています。
このページには、2022年に確認された、WordPressに関する脆弱性情報・セキュリティ情報をまとめています。
プラグイン・テーマの脆弱性情報は、CVSS 3.1 スコアが中程度より高いもので、日本国内での使用状況を鑑みて抽出しています。
情報ソースは、NVD・MITRE(CVE)・patchstack・Wordfenceなどです。
日本国内の使用状況については、WP Labによる調査に基づきます。
リリース日等の日付情報は、時差の為に日本時間と異なる場合があります。
リンクとなっている個別の投稿については、発信当時に収集した最新情報で、PoCや脆弱性が発生する細かい条件等が出る前のものが多数あります。速報として発信しており、コード解析や脆弱性を悪用される特定の条件等が明確になっていないものも多数あることをご承知おきください。
WordPress コア
2022.01.6のセキュリティリリース(詳細)
3.7系から5.8系までの全てのブランチが更新されています
2022.03.10のセキュリティリリース(詳細)
この更新では、3つのセキュリティ修正と1つのバグ修正が行われました。
当時最新であった5.9系から遡り、3.7系まで更新されています。
パッチバージョン一覧
5.9ブランチ→5.9.2 5.8ブランチ→5.8.4 5.7ブランチ→5.7.6 5.6ブランチ→5.6.8 5.5ブランチ→5.5.9 5.4ブランチ→5.4.10
5.3ブランチ→5.3.12 5.2ブランチ→5.2.15 5.1ブランチ→5.1.13 5.0ブランチ→5.0.16
4.9ブランチ→4.9.20 4.8ブランチ→4.8.19 4.7ブランチ→4.7.23 4.6ブランチ→4.6.23 4.5ブランチ→4.5.26
4.4ブランチ→4.4.27 4.3ブランチ→4.3.28 4.2ブランチ→4.2.32 4.1ブランチ→4.1.35 4.0ブランチ→4.0.35
3.9ブランチ→3.9.36 3.8ブランチ→3.8.38 3.7ブランチ→3.7.38
2022.08.31のセキュリティリリース(詳細はこちら)
3.7系から6.0系までの全てのブランチが更新されています。
2022.10.17のセキュリティリリース(詳細はこちら)
3.7系から6.0系までの全てのブランチが更新されています。
WordPressコア6.1.1以前のバージョンの脆弱性
2022年12月にコア6.1.1以前のバージョンにSSRFの脆弱性が確認されています。
CVE IDはCVE-2022-3590、CVSSスコアは4.0と中程度のものです。
2023年3月6日現在、この脆弱性のパッチバージョンはリリースされていません。
WordPressプラグイン
PHP Everywhere
情報開示時期:2022年1月
CVSSスコア:9.9(クリティカル)
対象バージョン:<=2.0.3
パッチバージョン:3.0
内容:contributer(寄稿者)レベルのアクセスでのリモートコード実行
CVE-ID:CVE-2022-24663, CVE-2022-24664
WP Statistics
情報開示時期:2022年2月
CVSSスコア:9.8(クリティカル)
対象バージョン:<=13.1.4,<=13.1.5
パッチバージョン:13.1.6
内容:SQLインジェクション
CVE-ID: CVE-2022-0651, CVE-2022-25149, CVE-2022-25148
Contact Form 7 Multi-Step Forms
情報開示時期:2022年2月
CVSSスコア:4.3
対象バージョン:<4.1.91
パッチバージョン:4.1.91
内容:プラグインの使用するFreemius Frameworkによる脆弱性(CSRFほか)
Updrafts Plus
情報開示時期:2022年2月
CVSSスコア:8.5(高)
対象バージョン:1.16.7-1.22.2
パッチバージョン:1.22.3
内容:subscriber(購読者)レベルを含むすべてのログインユーザーがブラグイン作成のバックアップをDLできる
CVE-ID:CVE-2022-0633
情報開示時期:2022年2月
CVSSスコア:6.1(中)
対象バージョン:<=1.1.16
パッチバージョン:1.1.17
内容:反射型XSS
CVE-ID:CVE-2022-0710
Advanced Custom Fields
情報開示時期:2022年3月
CVSSスコア:6.5(中)
対象バージョン:<=5.12
パッチバージョン:5.12.1
内容:認証欠如の脆弱性
CVE-ID:CVE-2022-23183
(JVN による情報はこちら)
Responsive Menu
情報開示時期:2022年3月
CVSSスコア:8.3(高)
対象バージョン:<=1.2.5
パッチバージョン:1.2.6
内容:ナンストークンのリークによる、認証ユーザーの任意のファイルアップロード等
CVE-ID:CVE-2022-25602
Ninja Forms – File Uploads Extension
情報開示時期:2022年3月
CVSSスコア:9.8(クリティカル)
対象バージョン:<=3.3.0
パッチバージョン:3.3.1
内容:任意のファイルアップロード
CVE-ID:CVE-2022-0888
Ninja Forms – File Uploads Extension
情報開示時期:2022年3月
CVSSスコア:6.1(中)
対象バージョン:<=3.3.12
パッチバージョン:3.3.13
内容:反射型XSS
CVE-ID:CVE-2022-0889
Elementor Website Builder
情報開示時期:2022年3月
CVSSスコア:9.9(クリティカル)
対象バージョン:3.6.0-3.6.2
パッチバージョン:3.6.3
内容:subscriber(購読者)レベルを含むすべてのログインユーザーによるリモートコード実行の脆弱性
CVE-ID:CVE-2022-1329
GTM4WP(Google Tag Manager for WordPress)
詳細はこちら
GTM4WP(Google Tag Manager for WordPress)
詳細はこちら
Download Manager
詳細はこちら
Ninja Forms Contact Form
詳細はこちら
WP Maintenance Mode & Coming Soon
詳細はこちら
Elementor Website Builder
詳細はこちら
WordPress Popular Posts
詳細はこちら
Download Manager
詳細はこちら
Visualizer
詳細はこちら
CAPTCHA 4WP
詳細はこちら
Feed Them Social
詳細はこちら
Modern WPBakery (The Kaswara Modern VC Addons):攻撃の増加についての注意喚起
詳細はこちら
Download Manager
詳細はこちら
Newletter
詳細はこちら
All In One Video Gallery
詳細はこちら
Broken Link Checker
詳細はこちら
Downloar Manager
詳細はこちら
All-in-One WP Migration
詳細はこちら
Visual Composer Website Builder
詳細はこちら
All-in-One SEO
詳細はこちら
Activity Log
詳細はこちら
Blog2Social
詳細はこちら
WP Super Cache
詳細はこちら
SearchWP Live Ajax Search
詳細はこちら
Activity Log
詳細はこちら
Smart Slider 3
詳細はこちら
Shortcodes Ultimate
詳細はこちら
Welcart eCommerce
詳細はこちら
Ultimate Member
詳細はこちら
WordPress Popular Posts
詳細はこちら
Download Manager
詳細はこちら
Welcart e-Commerce
詳細はこちら
Autoptimize
詳細はこちら
ProfilePress
詳細はこちら
Table of Contents Plus
詳細はこちら
WPtouch
詳細はこちら
Smash Balloon Social Post Feed
詳細はこちら
Font Awesome
詳細はこちら
Download Manager
詳細はこちら
MonsterInsights – Google Analytics Dashboard for WordPress
詳細はこちら
User Verification
詳細はこちら
WP Popups
詳細はこちら
Sitemap
詳細はこちら
Top 10 – Popular posts plugin for WordPress
詳細はこちら
WP Statistics
詳細はこちら(patchstack)
WordPressテーマ
Jupiter, Jupiter X Premium
詳細はこちら
Newspaper
詳細はこちら
Avada
詳細はこちら
Newspaperテーマ(付属プラグインtagDiv Composerの脆弱性)
詳細はこちら
人気記事
