2020年下半期 WordPressプラグイン脆弱性まとめ

2020年下半期はいくつかのプラグインで、脆弱性が報告されています。2020年10月～2021年3月に発表されたJVNの公開情報に基づいて、WordPressプラグイン脆弱性情報をまとめてお伝えします。

JVNとは？

日本で利用されているソフトウェアの脆弱性について、情報と対策を発信しているポータルサイト「JVN」は、Japan Vulnerability Notesの略称でIPA（独立行政法人情報処理推進機構）とJPCERT コーディネーションセンターが共同運営しています。

JVNの公開情報に基づいて、2020年下半期のWordPressプラグインに絞り込んで御紹介します。（2020/10～2021/3 最新順）

Paid Memberships Pro

2021/03/17公開

WordPress 用プラグイン Paid Memberships Pro には、SQL インジェクションの脆弱性が存在します。

影響を受けるシステム

Paid Memberships Pro version 2.5.6 より前のバージョン

対策

最新情報をもとにアップデートを行いましょう　

Name Directory

2021/02/05公開

WordPress 用プラグイン Name Directory には、クロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

Name Directory 1.17.4 およびそれ以前

対策

最新情報をもとにアップデートを行いましょう　ベンダ情報2

Simple Download Monitor

2020/10/21公開

WordPress 用プラグイン Simple Download Monitor には、複数の脆弱性が存在します。

影響を受けるシステム

Simple Download Monitor 3.8.8 およびそれ以前

対策

最新情報をもとにアップデートを行いましょう　ベンダ情報3

Live Chat – Live support

2020/10/14公開

WordPress 用プラグイン Live Chat – Live support には、クロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

Live Chat – Live support バージョン 3.1.0 およびそれ以前

対策

最新情報をもとにアップデートを行いましょう　ベンダ情報4

WordPressとは何か基本を知る

WordPressは世界中で最も多く利用されている無料CMSです。WordPressとは何か？メリット・デメリット、どんな方に向いているか？など基本について解説しています。

詳しくはWordPressとは？ページへ

ワードプレス WordPressとは:初心者もブログ・ホームページを無料作成できる

ブログを始めたい時、ホームページやランキングサイトを無料で作りたい時「0円で使えて、お洒落なブログやかっこいいサイト・ホームページが簡単に作れて、機能も追加出来て、検索エンジン上位表示も対応して、自分 ...

続きを見る

まとめ

WordPressでは4つのプラグインで脆弱性が指摘されていますが、その他のCMSでも複数報告されています。

2020/11/06 XOOPS 用モジュール XooNIps における複数の脆弱性、2020/11/18と2021/02/24 Movable Type におけるクロスサイトスクリプティングの脆弱性、2020/12/03 EC-CUBEにおける複数の脆弱性などが公開されていますので、JVNで詳しい情報を確認し未対応の方は早急にアップデートなどをお勧めいたします。