2021年上半期 WordPressプラグイン脆弱性まとめ

2021年上半期はいくつかのプラグインで、脆弱性が報告されています。2021年4月~2021年9月に発表されたJVNの公開情報に基づいて、WordPressプラグイン脆弱性情報をまとめてお伝えします。

2021年上半期 WordPressプラグイン脆弱性まとめ

JVNとは?

日本で利用されているソフトウェアの脆弱性について、情報と対策を発信しているポータルサイト「JVN」は、Japan Vulnerability Notesの略称でIPA(独立行政法人情報処理推進機構)とJPCERT コーディネーションセンターが共同運営しています。

JVNの公開情報に基づいて、2021年上半期のWordPressプラグインに絞り込んで紹介します。(2021/4~2021/9 最新順)

OG Tags

2021/09/28公開

WordPress 用プラグイン OG Tags には、クロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

OG Tags 2.0.2 より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

 

Quiz And Survey Master

2021/08/10公開

WordPress 用プラグイン Quiz And Survey Master には、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

Quiz And Survey Master 7.1.14 より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

 

Software License Manager

2021/07/08公開

WordPress 用プラグイン Software License Manager には、クロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

Software License Manager 4.4.6 より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

 

WordPress Meta Data Filter & Taxonomies Filter

2021/07/08公開

WordPress 用プラグイン WordPress Meta Data Filter & Taxonomies Filter には、クロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

WordPress Meta Data Filter & Taxonomies Filter v.1.2.8 より前のバージョン
WordPress Meta Data Filter & Taxonomies Filter v.2.2.8 より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

 

WordPress Email Template Designer

2021/07/06公開

WordPress 用プラグイン WordPress Email Template Designer - WP HTML Mail には、クロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

WordPress Email Template Designer – WP HTML Mail 3.0.8 より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

 

WordPress Currency Switcher

2021/07/06公開

WordPress 用プラグイン WPCS – WordPress Currency Switcher には、クロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

WPCS - WordPress Currency Switcher 1.1.6 およびそれ以前

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

 

WordPress Popular Posts

2021/06/23公開

WordPress 用プラグイン WordPress Popular Posts には、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

WordPress Popular Posts 5.3.2 およびそれ以前

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

 

「不動産プラグイン」シリーズ

2021/06/22公開

WordPress 用プラグイン「不動産プラグイン」シリーズの一部製品には、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

不動産プラグイン(本体) ver5.7.0 およびそれ以前のバージョン
不動産プラグインPro シングルユーザ ver5.7.0 およびそれ以前のバージョン
不動産プラグインPro マルチユーザ ver5.7.0 およびそれ以前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

 

Welcart e-Commerce

2021/06/11公開

WordPress 用プラグイン Welcart e-Commerce には、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

Welcart e-Commerce 2.2.4 より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

 

WP Fastest Cache

2021/04/27公開

WordPress 用プラグイン WP Fastest Cache には、ディレクトリトラバーサルの脆弱性が存在します。

影響を受けるシステム

WP Fastest Cache 0.9.1.7 より前のバージョン

対策

最新情報をもとにアップデートを行いましょう ベンダ情報

 

まとめ

WordPressでは10のプラグインで脆弱性が指摘されていますが、メジャーなプラグイン「WP Fastest Cache」「Welcart e-Commerce」「WordPress Popular Posts」などが報告されています。

JVNで詳しい情報を確認し未対応の方は早急にアップデートなどをお勧めいたします。

 

記事作成者プロフィール

佃 直毅
佃 直毅ITサポート/コンサルティング/コンテンツプロデュース
株式会社ストレン 代表取締役社長
MCP,2級知的財産管理技能士
GAIQ(Googleアナリティクス個人認定資格)
おすすめ情報サイト「マイベスト」レンタルサーバー・ドメイン監修

【仕事略歴】早稲田大商卒。東証一部精密機器メーカー、レコード会社を経て独立後、2001年に動画配信(ストリーミングサーバー)レンタルサービス「ストレン」を立ち上げ、マイクロソフト認定パートナーとしてサーバー構築・運用からPRまで全般に携わる。2015年、東証マザーズ上場企業・お客様と合意のもと、上場企業サービスへ移行していただき同ビジネス終了、以降はITサポート・コンサルティングとして企業の支援に。

当サイトでは、ホスティングビジネスの経験を踏まえ、ユーザー視点でレンタルサーバーやECサービスの評価をし、これから始めたい・切り替えたい方の立場に立った記事・評価・比較情報をお届けします。

【趣味】プロ野球/MLBなどスポーツ、そして映画・音楽好き(主に洋楽)。