2021年上半期はいくつかのプラグインで、脆弱性が報告されています。2021年4月~2021年9月に発表されたJVNの公開情報に基づいて、WordPressプラグイン脆弱性情報をまとめてお伝えします。
JVNとは?
日本で利用されているソフトウェアの脆弱性について、情報と対策を発信しているポータルサイト「JVN」は、Japan Vulnerability Notesの略称でIPA(独立行政法人情報処理推進機構)とJPCERT コーディネーションセンターが共同運営しています。
JVNの公開情報に基づいて、2021年上半期のWordPressプラグインに絞り込んで紹介します。(2021/4~2021/9 最新順)
OG Tags
2021/09/28公開
WordPress 用プラグイン OG Tags には、クロスサイトリクエストフォージェリの脆弱性が存在します。
影響を受けるシステム
OG Tags 2.0.2 より前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
Quiz And Survey Master
2021/08/10公開
WordPress 用プラグイン Quiz And Survey Master には、クロスサイトスクリプティングの脆弱性が存在します。
影響を受けるシステム
Quiz And Survey Master 7.1.14 より前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
Software License Manager
2021/07/08公開
WordPress 用プラグイン Software License Manager には、クロスサイトリクエストフォージェリの脆弱性が存在します。
影響を受けるシステム
Software License Manager 4.4.6 より前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
WordPress Meta Data Filter & Taxonomies Filter
2021/07/08公開
WordPress 用プラグイン WordPress Meta Data Filter & Taxonomies Filter には、クロスサイトリクエストフォージェリの脆弱性が存在します。
影響を受けるシステム
WordPress Meta Data Filter & Taxonomies Filter v.1.2.8 より前のバージョン
WordPress Meta Data Filter & Taxonomies Filter v.2.2.8 より前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
WordPress Email Template Designer
2021/07/06公開
WordPress 用プラグイン WordPress Email Template Designer - WP HTML Mail には、クロスサイトリクエストフォージェリの脆弱性が存在します。
影響を受けるシステム
WordPress Email Template Designer – WP HTML Mail 3.0.8 より前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
WordPress Currency Switcher
2021/07/06公開
WordPress 用プラグイン WPCS – WordPress Currency Switcher には、クロスサイトリクエストフォージェリの脆弱性が存在します。
影響を受けるシステム
WPCS - WordPress Currency Switcher 1.1.6 およびそれ以前
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
WordPress Popular Posts
2021/06/23公開
WordPress 用プラグイン WordPress Popular Posts には、クロスサイトスクリプティングの脆弱性が存在します。
影響を受けるシステム
WordPress Popular Posts 5.3.2 およびそれ以前
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
「不動産プラグイン」シリーズ
2021/06/22公開
WordPress 用プラグイン「不動産プラグイン」シリーズの一部製品には、クロスサイトスクリプティングの脆弱性が存在します。
影響を受けるシステム
不動産プラグイン(本体) ver5.7.0 およびそれ以前のバージョン
不動産プラグインPro シングルユーザ ver5.7.0 およびそれ以前のバージョン
不動産プラグインPro マルチユーザ ver5.7.0 およびそれ以前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
Welcart e-Commerce
2021/06/11公開
WordPress 用プラグイン Welcart e-Commerce には、クロスサイトスクリプティングの脆弱性が存在します。
影響を受けるシステム
Welcart e-Commerce 2.2.4 より前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
WP Fastest Cache
2021/04/27公開
WordPress 用プラグイン WP Fastest Cache には、ディレクトリトラバーサルの脆弱性が存在します。
影響を受けるシステム
WP Fastest Cache 0.9.1.7 より前のバージョン
対策
最新情報をもとにアップデートを行いましょう ベンダ情報
あわせて読みたい
セキュリティ対応が自社では難しい、時間や人員が割けない場合、外部サービスを利用するのも一つの方法です。
Webセキュリティサービス【SiteLock(サイトロック)】
東証一部上場のGMOインターネットのグループ企業であるGMOロジテック株式会社が運営する Webセキュリティサービス「SiteLock」(サイトロック)です。
マルウェアの感染や不正改竄など、サイトの脆弱性に対する攻撃が後を絶たず、自社のブランドを毀損する以上に、ユーザーに被害をもたらす可能性もあります。
「SiteLock」は、年額8,800円(月当たり733円)という低価格で、100ページまでのWordPressで構築したサイトなどのセキュリティ対策を行えるサービスです。
Webサイトおよびアプリケーションの定期的な「脆弱性診断」 や、マルウェアや不正コンテンツを検知する「マルウェア診断」 、そしてサイトの不正な改ざんを定期診断・駆除する「SMART診断」 が行えるほか、Webサイトの信頼性を可視化する安全シールも利用できます。
信用を守るため、ユーザーを守るためにもセキュリティ対策は今や必須です。
まとめ
WordPressでは10のプラグインで脆弱性が指摘されていますが、メジャーなプラグイン「WP Fastest Cache」「Welcart e-Commerce」「WordPress Popular Posts」などが報告されています。
JVNで詳しい情報を確認し未対応の方は早急にアップデートなどをお勧めいたします。
記事作成者プロフィール
-
株式会社ストレン 代表取締役社長
MCP,2級知的財産管理技能士
おすすめ情報サイト「マイベスト」レンタルサーバー・ドメイン監修
当サイトはホスティング業経験から、レンタルサーバー・ドメイン・ワードプレステンプレートを比較評価し、始める・切り替える方の視点で情報をお届けします。
【仕事略歴】早稲田大商卒。東証一部精密機器メーカー、レコード会社を経て2000年 動画配信レンタルサービス「ストレン」起業、マイクロソフト認定パートナーとしてサーバー構築・運用・PR等に携わる。2015年、東証グロース上場企業・お客様と合意の上、上場企業移行後に同ビジネス終了、以降はITコンサルティングとして支援に。
【趣味】プロ野球/MLBなどスポーツ、映画・音楽好き(主に洋楽)
