2019年8月のWordPressプラグイン脆弱性300件超の公開祭り

WordPress

皆様、暑い夏、いかがお過ごしでしょうか。

この一週間ほどWordPressプラグインの脆弱性情報がガンガン公開されています。あまりにも数が多いので記事にしました。プラグインの更新はお早めに。

なお、CVEの年コードが2015年や2016年となっているものが多数あります。過去にPoC(実証コード)が公開されているものに新たに付番したものという可能性がありますが、ここでは区別せず掲載します。

凡例

文字装飾はおおよそ以下の意味で使用しています。

「太字」は2019年に入ってから見つかった脆弱性
「黄色アンダーライン」は直近のバージョンアップで修正されたと思われる脆弱性
「赤色アンダーライン」は現時点で修正が行われていない脆弱性

怒涛の脆弱性報告一覧

All In One WP Security & Firewall
All In One WP Security & Firewall
包括的で、ユーザーフレンドリーな、WordPress のセキュリティとファイアウォールの1つで、あなたのサイトのためのプラグイン。

この記事の執筆時点での最新版は4.4.0です。

CVE-2016-10866:4.2.0以下に複数のXSS問題
CVE-2016-10887:4.0.9以下に複数のSQLインジェクション
CVE-2016-10888:4.0.7以下に複数のSQLインジェクション
CVE-2016-10867:4.0.6未満にXSS(設定ページ)
CVE-2016-10868:4.0.5以下にXSS(ブラックリスト/ファイルシステム/ファイル変更検出の設定ページ)
CVE-2015-9293:3.9.8未満にXSS(ロック解除リクエスト機能)
CVE-2015-9294:3.9.5以下にXSS
CVE-2015-9310:3.9.1以下に複数のSQLインジェクション

Import any XML or CSV File to WordPress
Import any XML or CSV File to WordPress
WP All Import は、どんな XML・CSV ファイルでも WordPress へ簡単にインポートできるようにする非常に強力なインポートツールです。

この記事の執筆時点での最新版は3.5.1です。

CVE-2018-20978: 3.4.7未満にXSS
CVE-2017-18567: 3.4.6未満にXSS
CVE-2015-9329: 3.2.5以下に反射型XSS
CVE-2015-9330: 3.2.5未満にブラインドSQLインジェクション
CVE-2015-9331: 3.2.4未満のadminInitに脆弱性(未認証ユーザによるオプション変更)

WP Database Backup
WP Database Backup
Create & Restore Database Backup easily on single click. Manual or automated backups (backup to Dropbox,Google drive,Amazon s3,FTP,Email).

この記事の執筆時点での最新版は5.3です。

CVE-2019-149495.1.2 以下にXSS
CVE-2016-10873:4.3.3 以下にXSS
CVE-2016-10874:4.3.3 未満にCSRF
CVE-2016-10875:4.3.1 以下にXSS
CVE-2016-10876:4.3.1 以下にCSRF

NewStatPress
NewStatPress
NewStatPress (Statpress plugin fork) is a real-time plugin to manage the visits' statistics about your blog (without external web analytics).

この記事の執筆時点での最新版は1.3.2です。

CVE-2017-18575: 1.2.5 未満に複数のストアドXSS
CVE-2015-9311:1.0.6以下に反射型XSS
CVE-2015-9312:1.0.5未満にXSS(IMG要素)
CVE-2015-9313:1.0.5未満にSQLインジェクション(IMG要素)
CVE-2015-9314:1.0.4未満にXSS(Refererヘッダー)
CVE-2015-9315:1.0.1以下にSQLインジェクション

Google Doc Embedder
Google Doc Embedder
Lets you embed PDF, MS Office, and many other file types in a web page using the free Google Docs Viewer (no Flash or PDF browser plug-ins required).

この記事の執筆時点での最新版は2.6.4です。

CVE-2016-10882:2.6.2未満にCSRF
CVE-2016-10881:2.6.2未満にXSS
CVE-2016-10880:2.6.1以下にXSS

Invite Anyone
Invite Anyone
Makes BuddyPress's invitation features more powerful.

この記事の執筆時点での最新版は1.4.0です。

CVE-2017-18543:1.3.16 以下に不正なアクセス制御(eメールベースの招待)
CVE-2017-18544:1.3.16以下に管理パネルのCSRF
CVE-2017-18545:1.3.16以下に入力データ確認漏れ

Custom Sidebars – Dynamic Widget Area Manager
Custom Sidebars – Dynamic Widget Area Manager
Flexible sidebars for custom widget configurations on every page, post and custom post type on your site.

この記事の執筆時点での最新版は3.2.3です。

CVE-2017-18510:3.1.0以下にCSRF(場所の設定/インポート/エクスポート)
CVE-2017-18511:3.0.8.1未満にCSRF

Companion Auto Update
Companion Auto Update
This plugin automatically updates all plugins, all themes and the wordpress core in the background.

この記事の執筆時点での最新版は3.4.2です。

CVE-2018-20972:3.2.1以下にCSRF
CVE-2018-20973:3.2.1未満にローカルファイル

Easy Digital Downloads
Easy Digital Downloads
WordPress でデジタル商品を販売する最も簡単な方法。

この記事の執筆時点での最新版は2.9.16です。

CVE-2019-151162.9.16以下にXSS(IPアドレスロギング)
CVE-2015-9324:2.3.3以下にSQLインジェクション

WP Editor
WP Editor
WP Editor is a plugin for WordPress that replaces the default plugin and theme editors as well as the page/post editor.

この記事の執筆時点での最新版は1.2.6.3です。

CVE-2016-108771.2.6.3未満に複数のXSS
CVE-2016-10885: 1.2.6未満にCSRF
CVE-2016-10886: 1.2.6未満に誤った権限

WP Fastest Cache
WP Fastest Cache
最もシンプルで速いWP キャッシュシステム

この記事の執筆時点での最新版は0.8.9.7です。

CVE-2019-136350.8.9.5以下にディレクトリトラバーサル
CVE-2015-9316:0.8.4.9未満にSQLインジェクション

Ultimate Member – User Profile & Membership Plugin
Ultimate Member – User Profile & Membership Plugin
The #1 user profile & membership plugin for WordPress.

この記事の執筆時点での最新版は2.0.56です。

CVE-2019-14945/WPVDB-95062.0.54未満にXSS
CVE-2019-149462.0.52未満にXSS(UMロールの作成および編集操作)
CVE-2019-149472.0.52未満にXSS(アカウントのアップグレード)
CVE-2018-20965:2.0.4以下にXSS
CVE-2016-10872:1.3.40未満にXSS(ログインフォーム)
CVE-2015-9304:1.3.18以下にXSS(テキスト入力)

WP Live Chat Support
WP Live Chat Support
Fully functional Live Chat plugin. Chat with your visitors for free! No need for monthly payments. Add live chat support to your site now.

この記事の執筆時点での最新版は8.0.37です。

CVE-2019-149508.0.27以下にXSS(GDPRページ)
CVE-2017-18507: 7.1.05以下にXSS
CVE-2017-18508: 7.1.03以下にXSS
CVE-2016-10879: 6.2.02以下にXSS
CVE-2014-10386: 4.1.0 未満にJavascriptインジェクション

Events Manager
Events Manager
定期的なイベント、ロケーション管理、カレンダー、Googleマップへの統合、予約管理を含む、完全に統合されたイベント登録管理

この記事の執筆時点での最新版は5.9.5です。

CVE-2015-9298:5.6未満にコードインジェクション
CVE-2015-9297:5.6未満にXSS
CVE-2015-9299:5.5.7.1未満にDOM XSS
CVE-2015-9300:5.5.7未満に複数のXSS
CVE-2013-7477: 5.5.2 未満にXSS(予約フォーム)
CVE-2013-7478: 5.5 未満にXSS(EM_Ticket::get_post)
CVE-2013-7479: 5.3.9 未満にXSS(検索フォーム)
CVE-2013-7480: 5.3.6.1 未満にXSS(予約フォームと管理者エリア)
CVE-2012-6716: 5.1.7 未満にXSS(JSON呼び出しリンク)

WP Support Plus Responsive Ticket System
WP Support Plus Responsive Ticket System
Important Notice :

この記事の執筆時点での最新版は9.1.2です。

CVE-2019-153319.1.2 未満にHTMLインジェクション
CVE-2016-10930: 7.1.0 未満に安全でない直接オブジェクト参照
CVE-2014-10387: 4.2 未満にSQLインジェクション
CVE-2014-10388: 4.2 未満にフルパスを開示する脆弱性
CVE-2014-10389: 4.2 未満に誤った認証
CVE-2014-10390: 4.2 未満にディレクトリトラバーサル
CVE-2014-10391: 4.1 未満にSQLインジェクション

WP Google Map Plugin
WP Google Map Plugin
A Responsive Google Maps plugin to display custom markers on the google maps and show custom message with links on a marker click.

この記事の執筆時点での最新版は4.0.8です。

CVE-2016-10878:3.1.2未満にXSS
CVE-2015-9305:2.3.7以下にXSS
CVE-2015-9307:2.3.10以下にCSRF(場所の追加/編集機能)
CVE-2015-9308:2.3.10以下にCSRF(マップの追加/編集機能)
CVE-2015-9309:2.3.10未満にCSRF(カテゴリの追加/編集機能)

WP Google Maps
WP Google Maps
Google マッププラグインを使うのが一番簡単です! カテゴリ、説明、画像、リンクを含む高品質のマーカーでカスタム Google マップを作成します。

上記のプラグインとは別(MapとMapsの違い)です。執筆時点での最新版は7.11.48です。

CVE-2019-147927.11.35未満にXSS

Woody ad snippets
Woody ad snippets – Insert Header Footer Code, AdSense Ads
Insert Headers and Footers, executes PHP code, uses conditional logic to insert ads, text, media content and external service’s code.

この記事の執筆時点での最新版は2.2.7です。

CVE-2019-147732.2.5以下に権限未確認の脆弱性
WPVDB-94902.2.4以下に権限未確認の脆弱性、ストアドXSS

rtMedia for WordPress, BuddyPress and bbPress
rtMedia for WordPress, BuddyPress and bbPress
Add albums, photo, audio/video upload, privacy, sharing, front-end uploads & more. All this works on mobile/tablets devices.

この記事の執筆時点での最新版は4.5.8です。

WPVDB-9498:4.2以下に未特定の問題
WPVDB-9497:3.10.1以下にXSS

Photo Gallery by 10Web – Mobile-Friendly Image Gallery
Photo Gallery by 10Web – Mobile-Friendly Image Gallery
Photo Gallery is a powerful image gallery plugin with a list of advanced options for creating responsive image galleries with beautiful lightbox.

この記事の執筆時点での最新版は1.5.34です。

CVE-2019-147981.5.25未満に脆弱性(ディレクトリトラバーサルを介したローカルファイルインクルージョン)
CVE-2019-147971.5.23以下に認証ユーザによるストアドXSS

Meta Box – WordPress Custom Fields Framework
Meta Box – WordPress Custom Fields Framework
Meta Box Plugin は、WordPress のカスタムメタボックスとカスタムフィールドを作成するための、強力で専門的な開発者用ツールキットです。

この記事の執筆時点での最新版は5.1.2です。

CVE-2019-147934.16.3未満に脆弱性(AJAX経由でファイルを削除可能)
CVE-2019-147944.16.2未満に処理誤り(カスタムフォルダーへのアップロード処理)

FV Flowplayer Video Player
FV Flowplayer Video Player
WordPress's most reliable, easy to use and feature-rich video player. Supports responsive design, HTML5, playlists, ads, stats, Vimeo and YouTube …

この記事の執筆時点での最新版は7.4.2.727です。

CVE-2019-148017.3.15.727以下にSQLインジェクション(eメールサブスクリプション)
CVE-2019-148007.3.15.727未満に権限確認漏れ
CVE-2019-147997.3.14.727未満にXSS(eメールサブスクリプション)

Live Forms – Visual Form Builder
Live Forms – Visual Form Builder
WordPress Live Forms Plugin is an elegant way to build and manage any type of forms simply using Drag and Drop Method. Whether You want to build a con …

この記事の執筆時点での最新版は3.7.3です。

CVE-2017-18497:3.4.0未満にXSS
CVE-2015-9301:3.2.0未満にSQLインジェクション

Twitter Cards Meta – Ultimate Twitter Card Plugin for WordPress
Twitter Cards Meta – Ultimate Twitter Card Plugin for WordPress
The Best Twitter Card Plugin in WordPress. Supports Summary Card with Large Image. Easy & Automated Solution with Preview!

この記事の執筆時点での最新版は2.9.0です。

CVE-2017-18503:2.5.0以下にXSS
CVE-2017-18504:2.5.0以下にCSRF

Contact Form Email
Contact Form Email
Contact form with visual form builder. Contact form that sends the data to email, to a database list and to CSV / Excel files.

この記事の執筆時点での最新版は1.2.94です。

CVE-2018-20963:1.2.66以下にXSS
CVE-2018-20964:1.2.66未満にCSRF

CP Contact Form with PayPal
CP Contact Form with PayPal
PayPal integration for contact forms, payment forms, order forms. Adds a contact form and connect it to a PayPal payment. Created by an Official PayPa …

この記事の執筆時点での最新版は1.3.06です。

CVE-2019-147851.2.99未満にXSS(公開ウィザード)
CVE-2019-147841.2.98以下にXSS

Tribulant Newsletters
Newsletters
Newsletter plugin for WordPress to capture subscribers and send beautiful, bulk newsletter emails.

この記事の執筆時点での最新版は4.6.19です。

CVE-2019-147874.6.19未満にXSS
CVE-2019-147884.6.19未満にディレクトリトラバーサル/リモートPHPコード実行
CVE-2018-20987: 4.6.8.6 未満にPHPオブジェクトインジェクション

Simple Fields
Simple Fields
With Simple Fields you can add any kind of custom fields to your pages, posts and attachments.

この記事の執筆時点での最新版は1.4.11です。

CVE-2015-93021.4.11以下にXSS
CVE-2013-7476: 1.2以下にCSRF

Simple Membership
Simple Membership
Simple membership プラグインは、会員メンバーシップ機能をサイトに追加します。コンテンツ保護を使用してメンバーだけを簡単に保護します。

この記事の執筆時点での最新版は3.8.8です。

CVE-2017-18499: 3.5.7以下にXSS
CVE-2016-10884: 3.3.3以下に複数のCSRF

Import Export Post as CSV File
Import & Export WordPress Data to CSV
Ultimate CSV Importer provides all the necessary Import and Export features in one bundle with simplified steps to follow.

この記事の執筆時点での最新版は6.0.2です。

CVE-2018-20967: 5.6.1未満にCSRF
CVE-2015-9306: 3.8.1未満にXSS

Awesome Support
Awesome Support – WordPress HelpDesk & Support Plugin
The most versatile and feature-rich help desk and support plugin for WordPress. Provide awesome support directly from your WordPress site.

この記事の執筆時点での最新版は5.8.0です。

CVE-2015-9317: 3.1.7未満にXSS
CVE-2015-9318: 3.1.7未満に返信でショートコードが許可される脆弱性

EELV Newsletter
EELV Newsletter
Add a registration form on Front-office a newsletter adminer on BackOffice : manage skins, address book, アーカイブ, answers, tracking

この記事の執筆時点での最新版は4.7.3です。

CVE-2017-18522: 4.6.1以下のアドレス帳にXSS
CVE-2017-18523: 4.6.1以下のアドレス帳にCSRF

My WP Translate
My WP Translate
Simple yet powerful Translate plugin for WordPress. Can be used with most of the themes and plugins which support translation.

この記事の執筆時点での最新版は1.0.8です。

CVE-2017-18568: 1.0.4以下にXSS
CVE-2017-18569: 1.0.4以下にCSRF

OptionTree
OptionTree
テーマ設定 UI Builder for WordPress. A simple way to create & save テーマ設定 and Meta Boxes for free or premium themes.

この記事の執筆時点での最新版は2.7.3です。

CVE-2019-153202.7.3 未満にオブジェクトインジェクション
CVE-2019-153212.7.3 未満にオブジェクトインジェクション
CVE-2019-153192.7.0 未満にオブジェクトインジェクション
CVE-2016-10895: 2.6.0未満にXSS(AJAXリクエスト)
CVE-2015-9320: 2.5.4以下にXSS(add_query_arg)

cforms II
cformsII
This is a fork of cformsII, a highly customizable, flexible and powerful form builder plugin, covering a variety of use cases and features.

この記事の執筆時点での最新版は15.0.2です。

CVE-2019-1523815.0.2未満にCSRF(IPアドレスフィールド)
WPVDB-950515.0.1以下にHTMLインジェクションとCSRF
CVE-2017-18559: 14.13.3 未満に複数のXSS
CVE-2017-18570: 14.13 未満にSQLインジェクション(エントリ削除/エントリダウンロード)
CVE-2015-9333: 14.6.10 未満にSQLインジェクション
CVE-2014-10377: 13.2 未満にXSS(lib_ajax.php)
CVE-2014-10393: 10.5 未満にXSS
CVE-2014-10392: 10.2 未満にXSS

Ad Inserter » Ad Manager & AdSense Ads
Ad Inserter – Ad Manager & AdSense Ads
Manage Google AdSense, Media.net, Amazon banners, ads.txt, ad rotation, sticky widgets, AMP ads, DFP, tracking, AdSense header and footer code

この記事の執筆時点での最新版は2.5.0です。

CVE-2019-153242.4.22 未満にリモートコード実行の脆弱性
CVE-2019-153232.4.20 未満にパストラバーサル

Activity Log
Activity Log
#1 アクティビティログプラグインを使用すると、サイトのすべての変更とアクティビティをログに記録するので、より安全で組織的な WordPress サイトを実行できます。

この記事の執筆時点での最新版は2.5.2です。

CVE-2016-10891: 2.3.3 未満にXSS
CVE-2016-10890: 2.3.2 未満にXSS

Booking Calendar Contact Form
Booking Calendar Contact Form
Booking calendar form w/ start and end date or a single date. Booking for house, hotel, services, etc. PayPal payment integration included.

この記事の執筆時点での最新版は1.1.91です。

CVE-2016-10908: 1.0.24 未満にXSS
CVE-2016-10909: 1.0.24 未満にSQLインジェクション

Duplicate Post
Duplicate Post
クリックして任意の形式の投稿をコピーします !

この記事の執筆時点での最新版は3.2.3です。

CVE-2014-10378: 2.6 未満にXSS
CVE-2014-10379: 2.6 未満にSQLインジェクション

FormBuilder
FormBuilder
Allows WordPress bloggers to easily create customised contact forms for use on pages or posts.

この記事の執筆時点での最新版は1.08です。

CVE-2016-10910: 1.06 未満に複数のXSS
CVE-2012-6715: 0.9.1 未満にリファラによるXSS

GNUCommerce
GNUCommerce
그누커머스는 워드프레스용 한국형 쇼핑몰 입니다.

この記事の執筆時点での最新版は1.5.4です。

CVE-2017-18572: 1.4.2未満にXSS
CVE-2016-10920: 0.5.7-BETA未満にXSS

Import users from CSV with meta
Import users from CSV with meta
A plugin to import users using CSV files to WP database automatically including custom user meta

この記事の執筆時点での最新版は1.14.3.2です。

CVE-2019-146831.14.2.2未満にCSRF
CVE-2019-153261.14.2.1 未満にディレクトリトラバーサル
CVE-2019-153271.14.1.3 未満にXSS
CVE-2019-153281.14.0.3 未満にXSS
CVE-2019-153291.14.0.3 未満にCSRF

Memphis Documents Library
Memphis Documents Library
WordPress 用のドキュメントライブラリ。

この記事の執筆時点での最新版は3.9.20です。

CVE-2014-10383: 3.0 未満にリモートファイル読み込みの脆弱性
CVE-2014-10384: 3.0 未満にローカルファイル読み込みの脆弱性
CVE-2014-10385: 3.0 未満にXSS($_REQUEST)

Nelio AB Testing
Nelio AB Testing
WordPress専用の A / Bテスト、コンバージョン率の最適化、美しいヒートマップ。

この記事の執筆時点での最新版は4.7.6です。

CVE-2017-18547: 4.6.4未満にCSRF(実験フォーム)
CVE-2016-10927: 4.5.11 未満にCSRF(ajax/iesupport.php)
CVE-2016-10926: 4.5.9 未満にCSRF(ajax/iesupport.php)

Ninja Forms » The Easy and Powerful Forms Builder
Ninja Forms – The Easy and Powerful Forms Builder
Ninja Forms is an easy to use drag and drop form builder with an intuitive UI that can be used to create contact forms, email subscription forms, lead …

この記事の執筆時点での最新版は3.4.18です。

CVE-2019-150253.3.21.2以下にSQLインジェクション
CVE-2018-20981: 3.3.9 未満に制限が不十分な問題(個人情報エクスポート要求)
CVE-2018-20980: 3.2.15 未満にパラメータ改ざんの脆弱性
CVE-2017-18574: 3.0.31 未満にHTMLのエスケープ不足の脆弱性

Post Pay Counter
Post Pay Counter
管理者定義のルールに基づいた投稿の報酬を計算することで、複数の著者のブログで著者の支払いを簡単に処理できます。

この記事の執筆時点での最新版は2.746です。

CVE-2017-18583: 2.731 未満にPHPオブジェクトインジェクション
CVE-2017-18584: 2.731 未満に設定更新時の権限確認漏れ

User Registration & User Profile » Profile Builder
User Registration & User Profile – Profile Builder
Powerful user profile plugin for creating front-end login, user registration and edit profile forms. Includes content restriction and user role editor …

この記事の執筆時点での最新版は3.0.3です。

CVE-2016-10911: 2.4.2 未満に複数のXSS
CVE-2015-9328: 2.2.5 未満にXSS
CVE-2015-9337: 2.1.4 未満にアクセス制御欠如(AJAX経由でのアドオン制御)
CVE-2014-10380: 1.1.66 未満に複数のXSS

Search Everything
Search Everything
Search Everything は3つの簡単なステップで WordPress のデフォルトの検索機能を拡張することができます。

この記事の執筆時点での最新版は8.1.9です。

CVE-2017-18571: 8.1.7 未満にWordPress 4.7.xに関連するSQLインジェクション
CVE-2016-10917: 8.1.6 未満にSQLインジェクション(空の検索文字列に関連)

Shortcode Factory
Shortcode Factory
Create short codes for almost everything in the Word Press and use in Pages, Posts or anywhere.

この記事の執筆時点での最新版は2.8.1です。

CVE-2019-153222.8 未満にローカルファイルインジェクション
CVE-2015-9321: 1.1.1 未満にXSS

Time Sheets
Time Sheets
A fully configurable time sheet system which allows for employee time tracking, workflows, time sheet approvals, invoicing and payroll processes.

この記事の執筆時点での最新版は1.14.5です。

CVE-2017-18582: 1.5.2 未満に複数のXSS
CVE-2017-18581: 1.5.0 未満にXSS

Total Security
Total Security
Checks your WordPress installation and provides detailed reporting on discovered vulnerabilities, anything suspicious and how to fix them.

この記事の執筆時点での最新版は3.4.8です。

CVE-2016-10898: 3.4.1 未満にXSS
CVE-2016-10899: 3.4.1 未満に設定変更に関する脆弱性

WebLibrarian
WebLibrarian
A WordPress plugin that implements a basic library collection and circulation system.

この記事の執筆時点での最新版は3.5.5です。

CVE-2017-18540: 3.4.8.7 未満にXSS(フロントエンドのショートコード)
CVE-2017-18539: 3.4.8.6 未満にXSS(フロントエンドのショートコード)
CVE-2017-18538: 3.4.8.5 未満にXSS(フロントエンドのショートコード)

Store Toolkit for WooCommerce
Store Toolkit for WooCommerce
Store Toolkit for WooCommerce includes a growing set of commonly-used WooCommerce administration tools aimed at web developers and store maintainers.

この記事の執筆時点での最新版は2.1.1です。

CVE-2016-10923: 1.5.8 未満に認可・権限・アクセス制御に関する脆弱性
CVE-2016-10922: 1.5.7 未満に認可・権限・アクセス制御に関する脆弱性

WP Customer Reviews
WP Customer Reviews
Allows your visitors to leave business / product reviews. Testimonials are in Microdata / Microformat and may display star ratings in search results.

この記事の執筆時点での最新版は3.4.1です。

CVE-2016-10901: 3.0.9 未満にXSS(管理ツール)
CVE-2016-10902: 3.0.9 未満にCSRF(管理ツール)

WordPress File Upload
WordPress File Upload
Simple yet very powerful plugin to allow users to upload files to your website from any page, post or sidebar and manage the uploaded files

この記事の執筆時点での最新版は4.11.2です。

CVE-2015-9341: 3.4.1 未満にアップロード制限欠如(.php, .js)
CVE-2015-9340: 3.0.0 未満にアップロード制限欠如(php, js, pht, php3, php4, php5, phtml, htm, html, htaccess)
CVE-2015-9339: 2.7.1 未満にアップロード制限欠如(.js)
CVE-2015-9338: 2.5.0 未満はアップロード制限欠如(.php)

WP Front End Profile
WP Front End Profile
WP Front End Profile allows users to edit their profile without going into the dashboard to do so.

この記事の執筆時点での最新版は0.2.2です。

CVE-2019-151100.2.2 未満にXSS
CVE-2019-151110.2.2 未満に権限昇格の脆弱性

Appointment Booking Calendar
Appointment Booking Calendar
Appointment Booking Calendar is an appointment calendar for accepting online bookings from a set of available time-slots in a calendar.

この記事の執筆時点での最新版は1.3.25です。

CVE-2019-147911.3.18にXSS
CVE-2016-10916: 1.1.24未満にSQLインジェクション

Democracy Poll
Democracy Poll
WordPress Polls plugin. Visitors can choose multiple and adds their own answers. Works with cache plugins like WP Super Cache.

この記事の執筆時点での最新版は5.5.6.3です。

CVE-2017-18521: 5.4未満にCSRF
CVE-2017-18520: 5.4未満にXSS

GiveWP » Donation Plugin and Fundraising Platform
GiveWP – Donation Plugin and Fundraising Platform
Accept donations and begin fundraising with GiveWP, the highest rated WordPress donation plugin for online giving.

この記事の執筆時点での最新版は2.5.4です。

CVE-2019-13578/WPVDB-95042.5.0以下にSQLインジェクション
CVE-2019-153172.4.7 未満にXSS

Mailchimp for WordPress
Mailchimp for WordPress
Mailchimp for WordPress, the #1 Mailchimp plugin.

この記事の執筆時点での最新版は4.5.3です。

CVE-2017-18577: 4.1.8 未満にXSS
CVE-2016-10871: 4.0.11未満にXSS(統合設定ページ)

PDF & Print by BestWebSoft
PDF & Print by BestWebSoft
Generate PDF files and print WordPress posts/pages. Customize document header/footer styles and appearance.

この記事の執筆時点での最新版は2.1.8です。

CVE-2018-20970: 2.0.3 未満に複数のXSS
CVE-2017-18528: 1.9.4未満に複数のXSS

Peter’s Login Redirect
Peter’s Login Redirect
Redirect users to different locations after logging in and logging out.

この記事の執筆時点での最新版は2.9.4です。

CVE-2019-151152.9.2未満にCSRF
CVE-2016-10925: 2.9.1 未満はXSS(リダイレクトURL編集)

Simple Login Log
Simple Login Log
This plugin keeps a log of WordPress user logins. Offers user and date filtering, and export features.

この記事の執筆時点での最新版は1.1.3です。

CVE-2017-18573: 1.1.2未満にSQLインジェクション
CVE-2017-18514: 1.1.2未満にSQLインジェクション

Visitors Online by BestWebSoft
Visitors Online by BestWebSoft
Display live count of online visitors who are currently browsing your WordPress website.

この記事の執筆時点での最新版は1.0.8です。

CVE-2017-18537: 1.0.0 未満に複数のXSS
CVE-2015-9325: 0.4以下にSQLインジェクション

Contact Form by BestWebSoft
Contact Form by BestWebSoft
WordPress のウェブサイトに必要な簡単なコンタクトフォームのプラグイン。

この記事の執筆時点での最新版は4.1.5です。

CVE-2017-18491: 4.0.6未満に複数のXSS
CVE-2016-10869: 4.0.2以下にXSS
CVE-2015-9295: 3.96以下にXSS
CVE-2013-7475: 3.52以下にXSS
CVE-2013-7481: 3.3.5 未満にXSS

BestWebSoftによるプラグイン (上記Contact Form以外)
Web Design & Development Company
We're a creative and innovative consulting company which combines strategy, design and engineering to develop successful and stable web products.

CVE-2017-18490Contact Form Multi by BestWebSoft 1.2.1以下に複数のXSS
CVE-2017-18492Contact Form to DB by BestWebSoft 1.5.7以下に複数のXSS
CVE-2017-18505Twitter Button by BestWebSoft 2.55未満にXSS
CVE-2017-18493Custom Admin Page by BestWebSoft 0.1.2未満に複数のXSS
CVE-2017-18494Custom Search by BestWebSoft 1.36に複数のXSS
CVE-2017-18500Social Buttons Pack by BestWebSoft 1.1.1未満に複数のXSS
CVE-2017-18501Social Login by BestWebSoft 0.2以下に複数のXSS
CVE-2017-18502Subscriber by BestWebSoft 1.3.5未満に複数のXSS
CVE-2017-18496Htaccess by BestWebSoft 1.7.6未満に複数のXSS
CVE-2017-18542Zendesk Help Center by BestWebSoft 1.0.5 未満に複数のXSS
CVE-2017-18517Pinterest by BestWebSoft 1.0.5未満に複数のXSS
CVE-2017-18518SMTP by BestWebSoft 1.1.0未満に複数のXSS
CVE-2017-18530Rating by BestWebSoft 0.2以下に複数のXSS
CVE-2017-18527Pagination by BestWebSoft 1.0.7未満に複数のXSS
CVE-2017-18529PromoBar by BestWebSoft 1.1.1未満に複数のXSS
CVE-2017-18532Realty by BestWebSoft 1.1.0未満に複数のXSS
CVE-2017-18566User Role by BestWebSoft 1.5.6未満に複数のXSS
CVE-2017-18556Google Analytics by BestWebSoft 1.7.1 未満に複数のXSS
CVE-2017-18557Google Maps by BestWebSoft 1.3.6 未満に複数のXSS
CVE-2017-18516LinkedIn by BestWebSoft 1.0.5 未満に複数のXSS
CVE-2017-18558Testimonials by BestWebSoft 0.1.9 未満に複数のXSS
CVE-2017-18562Error Log Viewer by BestWebSoft 1.0.6 未満に複数のXSS
CVE-2017-18564Sender by BestWebSoft 1.2.1 未満に複数のXSS
CVE-2017-18565Updater by BestWebSoft 1.35 未満に複数のXSS
CVE-2015-9335Limit Attempts by BestWebSoft 1.1.1 未満にSQLインジェクション(IPアドレスの取り扱い)

endrewwによるプラグイン

WPVDB-9493ND Donations 1.3以下に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9494Booking 2.4以下に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9496Learning Courses 4.7以下に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9501Restaurant Reservations 1.3以下に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9491Travel Management 1.5以下に脆弱性(未認証ユーザによるオプション変更)

WooCommerce関連
WooCommerce
WooCommerce は、WordPress に構築されたフレキシブルかつオープンソースの eコマースソリューションです。独自の方法で商品や場所を選ばず販売ができます。

CVE-2019-14948/WPVDB-9502PPOM for WooCommerce 18.4未満にXSS(メタデータ構造のインポート)
CVE-2019-14774woo-variation-swatches 1.0.61にXSS
CVE-2019-14796mq-woocommerce-products-price-bulk-edit 2.0にXSS
WPVDB-9487Order XML File Export Import for WooCommerce 1.2.2以下にXSS
CVE-2018-20966Booster for WooCommerce 3.8.0以下にXSS(商品のページング機能)
CVE-2017-18506WooCommerce PDF Invoices & Packing Slips 2.0.13以下にXSS

未分類

WPVDB-9511Easy Property Listings 3.4未満にXSS
WPVDB-9503Simple 301 Redirects Bulk Uploader 1.2.4以下に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9500Login or Logout Menu Item 1.1.1に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9489CSS & JavaScript Toolbox 8.4.1以下に脆弱性(データベースバックアップ漏洩)
CVE-2019-15114FormCraft – Contact Form Builder 1.2.2未満にCSRF
CVE-2019-15113Companion Sitemap Generator 3.7.0以下にCSRF
CVE-2019-15082360 Product Rotation 1.4.8 未満に反射型XSS
CVE-2019-14795toggle-the-title 1.4にXSS
CVE-2019-14790limb-gallery 1.4.0にXSS
CVE-2019-14789Custom 404 Pro 3.2.8にXSS
CVE-2019-14786WordPress SEO Plugin 1.0.27に権限確認漏れ
CVE-2019-14695/JVNDB-2019-007440/WPVDB-9495Popup Builder 3.45以下にSQLインジェクション
CVE-2019-14682ACF: Better Search 3.3.1以下にCSRF
CVE-2019-14681Deny All Firewall 1.1.7未満にCSRF
CVE-2019-14680admin-renamer-extended 3.2.1にCSRF
CVE-2019-14679 Pricing Table Plugin 2.2にCSRF
CVE-2019-14364Email Subscribers & Newsletters 4.1.6以下にXSS
CVE-2019-14348/JVNDB-2019-007448/WPVDB-9499JoomSport 3.3にSQLインジェクション
CVE-2019-14216WP SVG Icons 3.2.2以下にCSRF
CVE-2018-20974JS Job Manager 1.0.7以下にCSRF
CVE-2018-20971Church Admin 1.2550以下にCSRF
CVE-2018-20968WP Ultimate Exporter 1.4.2以下にCSRF
CVE-2017-18548Note Press 0.1.2以下にSQLインジェクション
CVE-2017-18546Jayj Quicktag 1.3.2未満にCSRF
CVE-2017-18541XO Security 1.5.3 以下にXSS
CVE-2017-18533Rimons Twitter Widget 1.3以下にXSS
CVE-2017-18531Raygun4WP 1.8.3未満にXSS
CVE-2017-18526moreAds SE 1.4.7未満にXSS
CVE-2017-18524Football Pool 2.6.5未満に複数のXSS
CVE-2017-18519WP Customer Area 7.4.3以下に管理ページを介したXSS
CVE-2017-18515WP Statistics 12.0.8以下にSQLインジェクション
CVE-2017-18513Responsive Menu 3.1.4未満に管理インターフェイスのCSRF
CVE-2017-18512Newsletter by Supsystic 1.1.8未満にCSRF
CVE-2017-18498/WPVDB-9486Simple Job Board 2.4.4未満にXSS(キーワード検索)
CVE-2017-18495Gravity Forms – Clockwork SMS 2.4.0以下にXSS
CVE-2017-18489Contact Form 7 – Clockwork SMS 2.4.0以下にXSS
CVE-2017-18488WordPress Backup and Migrate 1.1.47未満に複数のXSS
CVE-2017-18487Google AdSense plugin 1.44以下に複数のXSS
CVE-2016-10915Popup by Supsystic 1.7.9未満にCSRF
CVE-2016-10914Add From Server 3.3.2未満にCSRF(巨大ファイルインポート)
CVE-2016-10913WP Latest Posts 3.7.5未満にXSS
CVE-2016-10904Olimometer 2.57 以下にSQLインジェクション
CVE-2016-10893Crayon Syntax Highlighter 2.8.4以下に複数XSS(AJAXリクエスト)
CVE-2016-10892Chained Quiz 1.0以下に複数のXSS
CVE-2016-10889NextGEN Gallery 2.1.57以下にSQLインジェクション
CVE-2016-10883Simple add pages or posts 1.7以下にCSRF(ユーザー削除機能)
CVE-2016-10870Translate WordPress 5.0.06以下にXSS
CVE-2015-9332WordPress Uninstall 1.2以下にすべてのテーブルを削除するCSRF
CVE-2015-9326WP Business Intelligence Lite 1.6.3 未満にSQLインジェクション
CVE-2015-9323404 to 301 2.0.3 以下にSQLインジェクション
CVE-2015-9322Erident Custom Login and Dashboard 3.5以下にCSRF
CVE-2015-9319Greg's High Performance SEO 1.6.2未満にXSS(古いブラウザのコンテキスト)
CVE-2015-9303Simple Share Buttons Adder 6.0.0以下にXSS
CVE-2015-9296Download Monitor 1.7.1以下にXSS
CVE-2014-10381User Domain Whitelist 1.5未満にCSRF
CVE-2014-10376I Recommend This 3.7.3以下にSQLインジェクション
CVE-2012-6713Job Manager 0.7.19以下に複数のXSS
CVE-2011-5328User Access Manager 1.2以下にCSRF
CVE-2017-18553Ad Buttons 2.3.2 未満にXSS
CVE-2016-10929Advanced AJAX Page Loader 2.7.7 未満にファイル読み取り保護欠如
CVE-2018-20986Advanced Custom Fields 5.7.8 未満にXSS
CVE-2018-20977Schema » All In One Schema Rich Snippets 1.5.0 未満にXSS(設定画面)
CVE-2017-18554Analytics Tracker 1.1.1 未満にXSS
CVE-2017-18555Booking Calendar » Clockwork SMS 1.1.0 未満にXSS
CVE-2015-9336Clean Login 1.5.1 未満に反射型XSS
CVE-2018-20979Contact Form 7 5.0.4 未満に認可・権限・アクセス制御に関する脆弱性
CVE-2017-18560Content Audit 1.9.2 未満にXSS
CVE-2017-18579Corner Ad 1.0.8 未満にXSS
CVE-2012-6714Count per Day 3.2.3 未満にXSS(検索キーワード)
CVE-2017-18578Crafty Social Buttons 1.5.8 未満にXSS
CVE-2016-10924Zedna eBook download 1.2 未満にディレクトリトラバーサル
CVE-2015-9334email-newsletter 20.15 以下にSQLインジェクション
CVE-2017-18561Embed Images in Comments 0.6 未満にXSS
CVE-2017-18576Event Notifier 1.2.1 未満にXSS(読み込みアニメーション)
CVE-2014-10382Featured Comments 1.2.5 未満にCSRF
CVE-2015-9327Flickr Justified Gallery 3.4.0 未満にXSS
CVE-2016-10918Photo Gallery by Supsystic 1.8.6 未満にCSRF
CVE-2016-10921Gallery » Photo Gallery 1.0.1 未満にSQLインジェクション
CVE-2016-10903GoDaddy Email Marketing 1.1.3 未満にCSRF
CVE-2009-5158Google Analyticator 5.2.1 未満にAPIサニタイズ不足
CVE-2017-18586Insert Pages 3.2.4 未満にディレクトリトラバーサル
CVE-2018-20982Media Library Assistant 2.74 未満にXSS
CVE-2017-18525Max Mega Menu 2.4 未満にXSS
CVE-2016-10928OneLogin SAML SSO 2.2.0 未満にハードコードパスワード
CVE-2018-20984Patreon WordPress 1.2.2 未満にオブジェクトインジェクション
CVE-2017-18585Posts in Page 1.3.0 未満にディレクトリトラバーサル
CVE-2013-7482ReFlex Gallery » WordPress Photo Gallery 1.4.3 未満にXSS
CVE-2014-10394Rich Counter 1.2.0 未満にSQLインジェクション(User-Agentヘッダ)
CVE-2017-18563RSVP and Event Management Plugin 2.3.8 未満に永続的XSS(出席者リスト)
CVE-2016-10896SEO Redirection Plugin 4.3 未満にストアドXSS
CVE-2016-10897Sermon Browser 0.45.16 未満に複数XSS
CVE-2017-18534Share on Diaspora 0.7.2 未満に反射型XSS
CVE-2017-18580Shortcodes Ultimate 5.0.1 未満にリモートコード実行の脆弱性
CVE-2013-7483SlideDeck 2 Lite Responsive Content Slider 2.3.5 未満にファイルインジェクション
CVE-2017-18535SmokeSignal 1.2.7 未満にXSS
CVE-2018-16206spam-byebye 2.2.1 以下にXSS
CVE-2017-18536Stop User Enumeration 1.3.8 未満にXSS
CVE-2019-15109The Events Calendar 4.8.2 未満にXSS
CVE-2008-7321TubePress 1.6.5 未満にXSS
CVE-2016-10900Uji Countdown 2.0.7 未満にXSS
CVE-2016-10912ユニバーサルアナリティクス 1.3.1 未満にXSS
CVE-2019-15092 Import Export WordPress Users 1.3.0 にCSVインジェクション
CVE-2016-10919WassUp Real Time Analytics 1.9.1 未満にXSS
CVE-2019-15330WebP Express 0.14.11 未満に任意のファイル読み込み脆弱性
CVE-2018-20988Google Forms 0.94 未満にevalインジェクション(CAPTCHA演算)
CVE-2018-20985WP Payeezy Pay 2.98 未満にローカルファイルインジェクション
CVE-2018-20983WP Retina 2x 5.2.3 未満にXSS
CVE-2019-15112Slimstat Analytics 4.8.1 未満にXSS
CVE-2019-15318Easy Forms for Mailchimp 6.5.3 未満にコードインジェクション

状況まとめ

この怒涛の報告は、いったいどういう事なのでしょうか。通常だと月に30〜40件くらいだったかと思います。8月を終わってまだ集計もできていないのですが、300件を超える脆弱性。今後どれだけの報告が飛んでくるのやら。

冒頭でも書きましたが2015年や2016年のIDがついているものが多数あります。通常こういったズレが生じるのは、危険な脆弱性の公開を一定期間保留して開発元が修正版をリリース、ユーザがアップデートをするのを待つ場合くらいです。それも長くても1年、通常は3ヶ月〜6ヶ月。それが5年などに伸びるということは通常ありえないと思います。
とすると、これは「過去にexploitとして公開されていて未登録だったもの」を改めて調査して登録した、という可能性があるのかなと思っています。なので、通常のWordPressのサイトではそれほど慌てなくても良いのかもしれません。
ただ、上記150件を超える脆弱性の中には、つい数日前に発見されたもの、開発者が放棄して脆弱性の修正が行われていないものが存在しています。WordPressのプラグインは本当に便利ですが、こういうリスクも理解して利用してください。

追記

この記事は当初8/14の終戦記念日前日に書いていました。ところが、本当に毎日脆弱性情報が届き、リライトと推敲が追いつかない状態となってしまいました。まだまだ情報が届いているので、また改めて記事にできればと思っています。しかし今回は記事と言えるほど「思い」「考え」を伝える隙間がありませんでした。こんなページを最後までご覧いただきありがとうございました。

これだけ脆弱性の情報が増えると企画や開発、コンサルなどの業務が追いつかなくなっています。こんな私を「助けてあげたい」という奇特な方、一緒に仕事しましょう(笑)
まずは御一報をお待ちしております。