2019年8月のWordPressプラグイン脆弱性300件超の公開祭り

皆様、暑い夏、いかがお過ごしでしょうか。

この一週間ほどWordPressプラグインの脆弱性情報がガンガン公開されています。あまりにも数が多いので記事にしました。プラグインの更新はお早めに。

なお、CVEの年コードが2015年や2016年となっているものが多数あります。過去にPoC(実証コード)が公開されているものに新たに付番したものという可能性がありますが、ここでは区別せず掲載します。

凡例

文字装飾はおおよそ以下の意味で使用しています。

「太字」は2019年に入ってから見つかった脆弱性
「黄色アンダーライン」は直近のバージョンアップで修正されたと思われる脆弱性
「赤色アンダーライン」は現時点で修正が行われていない脆弱性

凡例

怒涛の脆弱性報告一覧
状況まとめ

怒涛の脆弱性報告一覧

All In One WP Security & Firewall

All In One WP Security & Firewall

包括的で、ユーザーフレンドリーな、WordPress のセキュリティとファイアウォールの1つで、あなたのサイトのためのプラグイン。

この記事の執筆時点での最新版は4.4.0です。

CVE-2016-10866：4.2.0以下に複数のXSS問題
CVE-2016-10887：4.0.9以下に複数のSQLインジェクション
CVE-2016-10888：4.0.7以下に複数のSQLインジェクション
CVE-2016-10867：4.0.6未満にXSS(設定ページ)
CVE-2016-10868：4.0.5以下にXSS(ブラックリスト/ファイルシステム/ファイル変更検出の設定ページ)
CVE-2015-9293：3.9.8未満にXSS(ロック解除リクエスト機能)
CVE-2015-9294：3.9.5以下にXSS
CVE-2015-9310：3.9.1以下に複数のSQLインジェクション

Import any XML or CSV File to WordPress

Import any XML or CSV File to WordPress

WP All Import は、どんな XML・CSV ファイルでも WordPress へ簡単にインポートできるようにする非常に強力なインポートツールです。

この記事の執筆時点での最新版は3.5.1です。

CVE-2018-20978： 3.4.7未満にXSS
CVE-2017-18567： 3.4.6未満にXSS
CVE-2015-9329： 3.2.5以下に反射型XSS
CVE-2015-9330： 3.2.5未満にブラインドSQLインジェクション
CVE-2015-9331： 3.2.4未満のadminInitに脆弱性(未認証ユーザによるオプション変更)

WP Database Backup

WP Database Backup

Create & Restore Database Backup easily on single click. Manual or automated backups (backup to Dropbox, Google drive, Amazon s3,FTP,Email).

この記事の執筆時点での最新版は5.3です。

CVE-2019-14949：5.1.2 以下にXSS
CVE-2016-10873：4.3.3 以下にXSS
CVE-2016-10874：4.3.3 未満にCSRF
CVE-2016-10875：4.3.1 以下にXSS
CVE-2016-10876：4.3.1 以下にCSRF

NewStatPress

NewStatPress

NewStatPress (Statpress plugin fork) is a real-time plugin to manage the visits' statistics about your blog (without external web analytics).

この記事の執筆時点での最新版は1.3.2です。

CVE-2017-18575： 1.2.5 未満に複数のストアドXSS
CVE-2015-9311：1.0.6以下に反射型XSS
CVE-2015-9312：1.0.5未満にXSS(IMG要素)
CVE-2015-9313：1.0.5未満にSQLインジェクション(IMG要素)
CVE-2015-9314：1.0.4未満にXSS(Refererヘッダー)
CVE-2015-9315：1.0.1以下にSQLインジェクション

Google Doc Embedder

Google Doc Embedder

Lets you embed PDF, MS Office, and many other file types in a web page using the free Google Docs Viewer (no Flash or PDF browser plug-ins required).

この記事の執筆時点での最新版は2.6.4です。

CVE-2016-10882：2.6.2未満にCSRF
CVE-2016-10881：2.6.2未満にXSS
CVE-2016-10880：2.6.1以下にXSS

Invite Anyone

Invite Anyone

Makes BuddyPress's invitation features more powerful.

この記事の執筆時点での最新版は1.4.0です。

CVE-2017-18543：1.3.16 以下に不正なアクセス制御(eメールベースの招待)
CVE-2017-18544：1.3.16以下に管理パネルのCSRF
CVE-2017-18545：1.3.16以下に入力データ確認漏れ

Custom Sidebars – Dynamic Widget Area Manager

Custom Sidebars – Dynamic Sidebar Widget Area Manager

Flexible sidebars for custom widget configurations on any page or post. Create custom sidebars with ease!

この記事の執筆時点での最新版は3.2.3です。

CVE-2017-18510：3.1.0以下にCSRF(場所の設定/インポート/エクスポート)
CVE-2017-18511：3.0.8.1未満にCSRF

Companion Auto Update

Companion Auto Update

WordPress サイトのすべての更新を管理。メール通知の設定やログで把握できます。完全無料です。

この記事の執筆時点での最新版は3.4.2です。

CVE-2018-20972：3.2.1以下にCSRF
CVE-2018-20973：3.2.1未満にローカルファイル

Easy Digital Downloads

Easy Digital Downloads – Simple eCommerce for Selling Digital Files

デジタル商品を簡単に販売することができます。カートシステム、支払いフォーム、レポート、クーポンなどの機能を備えたオンラインストアを簡単に構築できます。

この記事の執筆時点での最新版は2.9.16です。

CVE-2019-15116：2.9.16以下にXSS(IPアドレスロギング)
CVE-2015-9324：2.3.3以下にSQLインジェクション

WP Editor

WP Editor

WP Editor is a plugin for WordPress that replaces the default plugin and theme editors as well as the page/post editor.

この記事の執筆時点での最新版は1.2.6.3です。

CVE-2016-10877： 1.2.6.3未満に複数のXSS
CVE-2016-10885： 1.2.6未満にCSRF
CVE-2016-10886： 1.2.6未満に誤った権限

WP Fastest Cache

WP Fastest Cache

最もシンプルで速いWP キャッシュシステム

この記事の執筆時点での最新版は0.8.9.7です。

CVE-2019-13635：0.8.9.5以下にディレクトリトラバーサル
CVE-2015-9316：0.8.4.9未満にSQLインジェクション

Ultimate Member – User Profile & Membership Plugin

Ultimate Member – User Profile, User Registration, Login & Membership Plugin

The #1 plugin for front-end user profiles, user registration & login forms, member directories, content restriction and more.

この記事の執筆時点での最新版は2.0.56です。

CVE-2019-14945/WPVDB-9506：2.0.54未満にXSS
CVE-2019-14946：2.0.52未満にXSS(UMロールの作成および編集操作)
CVE-2019-14947：2.0.52未満にXSS(アカウントのアップグレード)
CVE-2018-20965：2.0.4以下にXSS
CVE-2016-10872：1.3.40未満にXSS(ログインフォーム)
CVE-2015-9304：1.3.18以下にXSS(テキスト入力)

WP Live Chat Support

3CX Live Chat

Chat with your website visitors in real-time for free! Engage with your customers and increase sales.

この記事の執筆時点での最新版は8.0.37です。

CVE-2019-14950：8.0.27以下にXSS(GDPRページ)
CVE-2017-18507： 7.1.05以下にXSS
CVE-2017-18508： 7.1.03以下にXSS
CVE-2016-10879： 6.2.02以下にXSS
CVE-2014-10386： 4.1.0 未満にJavascriptインジェクション

Events Manager

Events Manager

定期的なイベント、ロケーション管理、カレンダー、Googleマップへの統合、予約管理を含む、完全に統合されたイベント登録管理

この記事の執筆時点での最新版は5.9.5です。

CVE-2015-9298：5.6未満にコードインジェクション
CVE-2015-9297：5.6未満にXSS
CVE-2015-9299：5.5.7.1未満にDOM XSS
CVE-2015-9300：5.5.7未満に複数のXSS
CVE-2013-7477： 5.5.2 未満にXSS(予約フォーム)
CVE-2013-7478： 5.5 未満にXSS(EM_Ticket::get_post)
CVE-2013-7479： 5.3.9 未満にXSS(検索フォーム)
CVE-2013-7480： 5.3.6.1 未満にXSS(予約フォームと管理者エリア)
CVE-2012-6716： 5.1.7 未満にXSS(JSON呼び出しリンク)

WP Support Plus Responsive Ticket System

WP Support Plus Responsive Ticket System

This plugin is being maintained for existing users of the plugin. New users are strongly recommended to use our latest ticketing system SupportCandy.

この記事の執筆時点での最新版は9.1.2です。

CVE-2019-15331： 9.1.2 未満にHTMLインジェクション
CVE-2016-10930： 7.1.0 未満に安全でない直接オブジェクト参照
CVE-2014-10387： 4.2 未満にSQLインジェクション
CVE-2014-10388： 4.2 未満にフルパスを開示する脆弱性
CVE-2014-10389： 4.2 未満に誤った認証
CVE-2014-10390： 4.2 未満にディレクトリトラバーサル
CVE-2014-10391： 4.1 未満にSQLインジェクション

WP Google Map Plugin

WP Google Map Plugin

A Responsive Google Maps plugin to display custom markers on the google maps and show custom message with links on a marker click.

この記事の執筆時点での最新版は4.0.8です。

CVE-2016-10878：3.1.2未満にXSS
CVE-2015-9305：2.3.7以下にXSS
CVE-2015-9307：2.3.10以下にCSRF(場所の追加/編集機能)
CVE-2015-9308：2.3.10以下にCSRF(マップの追加/編集機能)
CVE-2015-9309：2.3.10未満にCSRF(カテゴリの追加/編集機能)

WP Google Maps

WP Google Maps

The easiest to use Google maps plugin! Create a custom Google map or Store Locator with high quality markers containing categories, descriptions, imag …

上記のプラグインとは別(MapとMapsの違い)です。執筆時点での最新版は7.11.48です。

CVE-2019-14792：7.11.35未満にXSS

Woody ad snippets

Woody code snippets – Insert Header Footer Code, AdSense Ads

Insert Headers and Footers, executes PHP code, uses conditional logic to insert ads, text, media content and external service’s code.

この記事の執筆時点での最新版は2.2.7です。

CVE-2019-14773：2.2.5以下に権限未確認の脆弱性
WPVDB-9490：2.2.4以下に権限未確認の脆弱性、ストアドXSS

rtMedia for WordPress, BuddyPress and bbPress

rtMedia for WordPress, BuddyPress and bbPress

Add albums, photo, audio/video upload, privacy, sharing, front-end uploads & more. All this works on mobile/tablets devices.

この記事の執筆時点での最新版は4.5.8です。

WPVDB-9498：4.2以下に未特定の問題
WPVDB-9497：3.10.1以下にXSS

Photo Gallery by 10Web – Mobile-Friendly Image Gallery

Photo Gallery by 10Web – Mobile-Friendly Image Gallery

Photo Gallery is a powerful image gallery plugin with a list of advanced options for creating responsive image galleries with beautiful lightbox.

この記事の執筆時点での最新版は1.5.34です。

CVE-2019-14798：1.5.25未満に脆弱性(ディレクトリトラバーサルを介したローカルファイルインクルージョン)
CVE-2019-14797：1.5.23以下に認証ユーザによるストアドXSS

Meta Box – WordPress Custom Fields Framework

Meta Box – WordPress Custom Fields Framework

Meta Box plugin is a powerful, professional developer toolkit to create custom meta boxes and custom fields for your custom post types in WordPress.

この記事の執筆時点での最新版は5.1.2です。

CVE-2019-14793：4.16.3未満に脆弱性(AJAX経由でファイルを削除可能)
CVE-2019-14794：4.16.2未満に処理誤り(カスタムフォルダーへのアップロード処理)

FV Flowplayer Video Player

FV Flowplayer Video Player

WordPress's most reliable, easy to use and feature-rich video player. Supports responsive design, HTML5, playlists, ads, stats, Vimeo and YouTube …

この記事の執筆時点での最新版は7.4.2.727です。

CVE-2019-14801：7.3.15.727以下にSQLインジェクション(eメールサブスクリプション)
CVE-2019-14800：7.3.15.727未満に権限確認漏れ
CVE-2019-14799：7.3.14.727未満にXSS(eメールサブスクリプション)

Live Forms – Visual Form Builder

WordPress Contact Form, Drag and Drop Form Builder Plugin – Live Forms

WordPress Live Forms - Easy Drag and Drop Form Builder Plugin for WordPress, is an elegant way to build and manage any type of form.

この記事の執筆時点での最新版は3.7.3です。

CVE-2017-18497：3.4.0未満にXSS
CVE-2015-9301：3.2.0未満にSQLインジェクション

Twitter Cards Meta – Ultimate Twitter Card Plugin for WordPress

Twitter Cards Meta – Best Twitter Card Plugin for WordPress

The Best Twitter Card Plugin in WordPress. Supports Summary Card with Large Image. Easy & Automated Solution with Preview!

この記事の執筆時点での最新版は2.9.0です。

CVE-2017-18503：2.5.0以下にXSS
CVE-2017-18504：2.5.0以下にCSRF

Contact Form Email

Contact Form Email

Contact form with visual form builder. Contact form that sends the data to email, to a database list and to CSV / Excel files.

この記事の執筆時点での最新版は1.2.94です。

CVE-2018-20963：1.2.66以下にXSS
CVE-2018-20964：1.2.66未満にCSRF

CP Contact Form with PayPal

CP Contact Form with PayPal

PayPal integration for contact forms, payment forms, order forms. Adds a contact form and connect it to a PayPal payment. Created by an Official PayPa …

この記事の執筆時点での最新版は1.3.06です。

CVE-2019-14785： 1.2.99未満にXSS(公開ウィザード)
CVE-2019-14784： 1.2.98以下にXSS

Tribulant Newsletters

Newsletters

Newsletter plugin for WordPress to capture subscribers and send beautiful, bulk newsletter emails.

この記事の執筆時点での最新版は4.6.19です。

CVE-2019-14787：4.6.19未満にXSS
CVE-2019-14788： 4.6.19未満にディレクトリトラバーサル/リモートPHPコード実行
CVE-2018-20987： 4.6.8.6 未満にPHPオブジェクトインジェクション

Simple Fields

Simple Fields

With Simple Fields you can add any kind of custom fields to your pages, posts and attachments.

この記事の執筆時点での最新版は1.4.11です。

CVE-2015-9302： 1.4.11以下にXSS
CVE-2013-7476： 1.2以下にCSRF

Simple Membership

Simple Membership

Simple membership プラグインは、会員メンバーシップ機能をサイトに追加します。コンテンツ保護を使用してメンバーだけを簡単に保護します。

この記事の執筆時点での最新版は3.8.8です。

CVE-2017-18499： 3.5.7以下にXSS
CVE-2016-10884： 3.3.3以下に複数のCSRF

Import Export Post as CSV File

Easy Drag And drop All Import : WP Ultimate CSV Importer

WP ULTIMATE CSV IMPORTER PLUGIN ALLOWS TO IMPORT ALL DATA IN CSV AND XML FORMAT TO YOUR WORDPRESS WEBSITE

この記事の執筆時点での最新版は6.0.2です。

CVE-2018-20967： 5.6.1未満にCSRF
CVE-2015-9306： 3.8.1未満にXSS

Awesome Support

Awesome Support – WordPress HelpDesk & Support Plugin

The most versatile and feature-rich help desk and support plugin for WordPress. Provide awesome support directly from your WordPress site.

この記事の執筆時点での最新版は5.8.0です。

CVE-2015-9317： 3.1.7未満にXSS
CVE-2015-9318： 3.1.7未満に返信でショートコードが許可される脆弱性

EELV Newsletter

EELV Newsletter

Add a registration form on Front-office a newsletter adminer on BackOffice : manage skins, address book, アーカイブ, answers, tracking

この記事の執筆時点での最新版は4.7.3です。

CVE-2017-18522： 4.6.1以下のアドレス帳にXSS
CVE-2017-18523： 4.6.1以下のアドレス帳にCSRF

My WP Translate

My WP Translate

Simple yet powerful Translate plugin for WordPress. Can be used with most of the themes and plugins which support translation.

この記事の執筆時点での最新版は1.0.8です。

CVE-2017-18568： 1.0.4以下にXSS
CVE-2017-18569： 1.0.4以下にCSRF

OptionTree

OptionTree

テーマ設定 UI Builder for WordPress. A simple way to create & save テーマ設定 and Meta Boxes for free or premium themes.

この記事の執筆時点での最新版は2.7.3です。

CVE-2019-15320： 2.7.3 未満にオブジェクトインジェクション
CVE-2019-15321： 2.7.3 未満にオブジェクトインジェクション
CVE-2019-15319： 2.7.0 未満にオブジェクトインジェクション
CVE-2016-10895： 2.6.0未満にXSS(AJAXリクエスト)
CVE-2015-9320： 2.5.4以下にXSS(add_query_arg)

cforms II

cformsII

This is a fork of cformsII, a highly customizable, flexible and powerful form builder plugin, covering a variety of use cases and features.

この記事の執筆時点での最新版は15.0.2です。

CVE-2019-15238： 15.0.2未満にCSRF(IPアドレスフィールド)
WPVDB-9505： 15.0.1以下にHTMLインジェクションとCSRF
CVE-2017-18559： 14.13.3 未満に複数のXSS
CVE-2017-18570： 14.13 未満にSQLインジェクション(エントリ削除/エントリダウンロード)
CVE-2015-9333： 14.6.10 未満にSQLインジェクション
CVE-2014-10377： 13.2 未満にXSS(lib_ajax.php)
CVE-2014-10393： 10.5 未満にXSS
CVE-2014-10392： 10.2 未満にXSS

Ad Inserter » Ad Manager & AdSense Ads

Ad Inserter – Ad Manager & AdSense Ads

Manage Google AdSense, Media.net, Amazon banners, ads.txt, ad rotation, sticky widgets, AMP ads, DFP, tracking, AdSense header and footer code

この記事の執筆時点での最新版は2.5.0です。

CVE-2019-15324： 2.4.22 未満にリモートコード実行の脆弱性
CVE-2019-15323： 2.4.20 未満にパストラバーサル

Activity Log

アクティビティログ

#1 アクティビティログプラグインを使用すると、サイトのすべての変更とアクティビティをログに記録するので、より安全で組織的な WordPress サイトを実行できます。

この記事の執筆時点での最新版は2.5.2です。

CVE-2016-10891： 2.3.3 未満にXSS
CVE-2016-10890： 2.3.2 未満にXSS

Booking Calendar Contact Form

Booking Calendar Contact Form

Booking calendar form w/ start and end date or a single date. Booking for house, hotel, services, etc. PayPal payment integration included.

この記事の執筆時点での最新版は1.1.91です。

CVE-2016-10908： 1.0.24 未満にXSS
CVE-2016-10909： 1.0.24 未満にSQLインジェクション

Duplicate Post

Yoast Duplicate Post

強力な書き換え & 再公開機能を含む、投稿やページの複製に最適なツールです。

この記事の執筆時点での最新版は3.2.3です。

CVE-2014-10378： 2.6 未満にXSS
CVE-2014-10379： 2.6 未満にSQLインジェクション

FormBuilder

FormBuilder

Allows WordPress bloggers to easily create customised contact forms for use on pages or posts.

この記事の執筆時点での最新版は1.08です。

CVE-2016-10910： 1.06 未満に複数のXSS
CVE-2012-6715： 0.9.1 未満にリファラによるXSS

GNUCommerce

GNUCommerce

그누커머스는 워드프레스용 한국형 쇼핑몰 입니다.

この記事の執筆時点での最新版は1.5.4です。

CVE-2017-18572： 1.4.2未満にXSS
CVE-2016-10920： 0.5.7-BETA未満にXSS

Import users from CSV with meta

Import and export users and customers

Import and export users and customers using CSV files including custom user meta and roles. Integrations with lots of other plugins.

この記事の執筆時点での最新版は1.14.3.2です。

CVE-2019-14683： 1.14.2.2未満にCSRF
CVE-2019-15326： 1.14.2.1 未満にディレクトリトラバーサル
CVE-2019-15327： 1.14.1.3 未満にXSS
CVE-2019-15328： 1.14.0.3 未満にXSS
CVE-2019-15329： 1.14.0.3 未満にCSRF

Memphis Documents Library

Memphis Documents Library

WordPress 用のドキュメントライブラリ。

この記事の執筆時点での最新版は3.9.20です。

CVE-2014-10383： 3.0 未満にリモートファイル読み込みの脆弱性
CVE-2014-10384： 3.0 未満にローカルファイル読み込みの脆弱性
CVE-2014-10385： 3.0 未満にXSS($_REQUEST)

Nelio AB Testing

Nelio AB Testing

WordPress専用の A / Bテスト、コンバージョン率の最適化、美しいヒートマップ。

この記事の執筆時点での最新版は4.7.6です。

CVE-2017-18547： 4.6.4未満にCSRF(実験フォーム)
CVE-2016-10927： 4.5.11 未満にCSRF(ajax/iesupport.php)
CVE-2016-10926： 4.5.9 未満にCSRF(ajax/iesupport.php)

Ninja Forms » The Easy and Powerful Forms Builder

Ninja Forms Contact Form – The Drag and Drop Form Builder for WordPress

The 100% beginner friendly WordPress form builder. Drag & drop form fields to build beautiful, professional contact forms in minutes.

この記事の執筆時点での最新版は3.4.18です。

CVE-2019-15025： 3.3.21.2以下にSQLインジェクション
CVE-2018-20981： 3.3.9 未満に制限が不十分な問題(個人情報エクスポート要求)
CVE-2018-20980： 3.2.15 未満にパラメータ改ざんの脆弱性
CVE-2017-18574： 3.0.31 未満にHTMLのエスケープ不足の脆弱性

Post Pay Counter

Post Pay Counter

管理者定義のルールに基づいた投稿の報酬を計算することで、複数の著者のブログで著者の支払いを簡単に処理できます。

この記事の執筆時点での最新版は2.746です。

CVE-2017-18583： 2.731 未満にPHPオブジェクトインジェクション
CVE-2017-18584： 2.731 未満に設定更新時の権限確認漏れ

User Registration & User Profile » Profile Builder

User Registration & User Profile – Profile Builder

Powerful user profile plugin for creating front-end login, user registration and edit profile forms. Includes content restriction and user role editor …

この記事の執筆時点での最新版は3.0.3です。

CVE-2016-10911： 2.4.2 未満に複数のXSS
CVE-2015-9328： 2.2.5 未満にXSS
CVE-2015-9337： 2.1.4 未満にアクセス制御欠如(AJAX経由でのアドオン制御)
CVE-2014-10380： 1.1.66 未満に複数のXSS

Search Everything

Search Everything

Search Everything は3つの簡単なステップで WordPress のデフォルトの検索機能を拡張することができます。

この記事の執筆時点での最新版は8.1.9です。

CVE-2017-18571： 8.1.7 未満にWordPress 4.7.xに関連するSQLインジェクション
CVE-2016-10917： 8.1.6 未満にSQLインジェクション(空の検索文字列に関連)

Shortcode Factory

Shortcode Factory

Create short codes for almost everything in the Word Press and use in Pages, Posts or anywhere.

この記事の執筆時点での最新版は2.8.1です。

CVE-2019-15322： 2.8 未満にローカルファイルインジェクション
CVE-2015-9321： 1.1.1 未満にXSS

Time Sheets

Time Sheets

A fully configurable time sheet system which allows for employee time tracking, workflows, time sheet approvals, invoicing and payroll processes.

この記事の執筆時点での最新版は1.14.5です。

CVE-2017-18582： 1.5.2 未満に複数のXSS
CVE-2017-18581： 1.5.0 未満にXSS

Total Security

Total Security

Checks your WordPress installation and provides detailed reporting on discovered vulnerabilities, anything suspicious and how to fix them.

この記事の執筆時点での最新版は3.4.8です。

CVE-2016-10898： 3.4.1 未満にXSS
CVE-2016-10899： 3.4.1 未満に設定変更に関する脆弱性

WebLibrarian

WebLibrarian

A WordPress plugin that implements a basic library collection and circulation system.

この記事の執筆時点での最新版は3.5.5です。

CVE-2017-18540： 3.4.8.7 未満にXSS(フロントエンドのショートコード)
CVE-2017-18539： 3.4.8.6 未満にXSS(フロントエンドのショートコード)
CVE-2017-18538： 3.4.8.5 未満にXSS(フロントエンドのショートコード)

Store Toolkit for WooCommerce

Store Toolkit for WooCommerce

Store Toolkit for WooCommerce includes a growing set of commonly-used WooCommerce administration tools aimed at web developers and store maintainers.

この記事の執筆時点での最新版は2.1.1です。

CVE-2016-10923： 1.5.8 未満に認可・権限・アクセス制御に関する脆弱性
CVE-2016-10922： 1.5.7 未満に認可・権限・アクセス制御に関する脆弱性

WP Customer Reviews

WP Customer Reviews

Allows your visitors to leave business / product reviews. Testimonials are in Microdata / Microformat and may display star ratings in search results.

この記事の執筆時点での最新版は3.4.1です。

CVE-2016-10901： 3.0.9 未満にXSS(管理ツール)
CVE-2016-10902： 3.0.9 未満にCSRF(管理ツール)

WordPress File Upload

WordPress File Upload

Simple yet very powerful plugin to allow users to upload files to your website from any page, post or sidebar and manage the uploaded files

この記事の執筆時点での最新版は4.11.2です。

CVE-2015-9341： 3.4.1 未満にアップロード制限欠如(.php, .js)
CVE-2015-9340： 3.0.0 未満にアップロード制限欠如(php, js, pht, php3, php4, php5, phtml, htm, html, htaccess)
CVE-2015-9339： 2.7.1 未満にアップロード制限欠如(.js)
CVE-2015-9338： 2.5.0 未満はアップロード制限欠如(.php)

WP Front End Profile

WP Frontend Profile

WP Frontend Profile allows users to edit/view their profile and register/login without going into the dashboard to do so.

この記事の執筆時点での最新版は0.2.2です。

CVE-2019-15110： 0.2.2 未満にXSS
CVE-2019-15111： 0.2.2 未満に権限昇格の脆弱性

Appointment Booking Calendar

Appointment Booking Calendar

Appointment Booking Calendar is an appointment calendar for accepting online bookings from a set of available time-slots in a calendar.

この記事の執筆時点での最新版は1.3.25です。

CVE-2019-14791： 1.3.18にXSS
CVE-2016-10916： 1.1.24未満にSQLインジェクション

Democracy Poll

Democracy Poll

WordPress Polls plugin. Visitors can choose multiple and adds their own answers. Works with cache plugins like WP Super Cache.

この記事の執筆時点での最新版は5.5.6.3です。

CVE-2017-18521： 5.4未満にCSRF
CVE-2017-18520： 5.4未満にXSS

GiveWP » Donation Plugin and Fundraising Platform

GiveWP – 寄付プラグインと資金集めのプラットフォーム

オンラインチャリティとして最高評価を受けている WordPress 寄付プラグイン。GiveWP で寄付を受け付けて、資金集めを開始しましょう。

この記事の執筆時点での最新版は2.5.4です。

CVE-2019-13578/WPVDB-9504： 2.5.0以下にSQLインジェクション
CVE-2019-15317： 2.4.7 未満にXSS

Mailchimp for WordPress

MC4WP: Mailchimp for WordPress

Mailchimp for WordPress, the #1 unofficial Mailchimp plugin.

この記事の執筆時点での最新版は4.5.3です。

CVE-2017-18577： 4.1.8 未満にXSS
CVE-2016-10871： 4.0.11未満にXSS(統合設定ページ)

PDF & Print by BestWebSoft

PDF & Print by BestWebSoft

Generate PDF files and print WordPress posts/pages. Customize document header/footer styles and appearance.

この記事の執筆時点での最新版は2.1.8です。

CVE-2018-20970： 2.0.3 未満に複数のXSS
CVE-2017-18528： 1.9.4未満に複数のXSS

Peter’s Login Redirect

Peter's Login Redirect

Redirect users to different locations after logging in and logging out.

この記事の執筆時点での最新版は2.9.4です。

CVE-2019-15115： 2.9.2未満にCSRF
CVE-2016-10925： 2.9.1 未満はXSS(リダイレクトURL編集)

Simple Login Log

Simple Login Log

This plugin keeps a log of WordPress user logins. Offers user and date filtering, and export features.

この記事の執筆時点での最新版は1.1.3です。

CVE-2017-18573： 1.1.2未満にSQLインジェクション
CVE-2017-18514： 1.1.2未満にSQLインジェクション

この記事の執筆時点での最新版は4.1.5です。

CVE-2017-18491： 4.0.6未満に複数のXSS
CVE-2016-10869： 4.0.2以下にXSS
CVE-2015-9295： 3.96以下にXSS
CVE-2013-7475： 3.52以下にXSS
CVE-2013-7481： 3.3.5 未満にXSS

BestWebSoftによるプラグイン (上記Contact Form以外)

BestWebSoft

Only The Best IT Solutions!

endrewwによるプラグイン

WPVDB-9493：ND Donations 1.3以下に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9494：Booking 2.4以下に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9496：Learning Courses 4.7以下に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9501：Restaurant Reservations 1.3以下に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9491：Travel Management 1.5以下に脆弱性(未認証ユーザによるオプション変更)

WooCommerce関連

WooCommerce

CVE-2019-14948/WPVDB-9502：PPOM for WooCommerce 18.4未満にXSS(メタデータ構造のインポート)
CVE-2019-14774：woo-variation-swatches 1.0.61にXSS
CVE-2019-14796：mq-woocommerce-products-price-bulk-edit 2.0にXSS
WPVDB-9487：Order XML File Export Import for WooCommerce 1.2.2以下にXSS
CVE-2018-20966：Booster for WooCommerce 3.8.0以下にXSS(商品のページング機能)
CVE-2017-18506：WooCommerce PDF Invoices & Packing Slips 2.0.13以下にXSS

未分類

WPVDB-9511： Easy Property Listings 3.4未満にXSS
WPVDB-9503：Simple 301 Redirects Bulk Uploader 1.2.4以下に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9500： Login or Logout Menu Item 1.1.1に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9489： CSS & JavaScript Toolbox 8.4.1以下に脆弱性(データベースバックアップ漏洩)
CVE-2019-15114： FormCraft – Contact Form Builder 1.2.2未満にCSRF
CVE-2019-15113： Companion Sitemap Generator 3.7.0以下にCSRF
CVE-2019-15082： 360 Product Rotation 1.4.8 未満に反射型XSS
CVE-2019-14795： toggle-the-title 1.4にXSS
CVE-2019-14790： limb-gallery 1.4.0にXSS
CVE-2019-14789： Custom 404 Pro 3.2.8にXSS
CVE-2019-14786： WordPress SEO Plugin 1.0.27に権限確認漏れ
CVE-2019-14695/JVNDB-2019-007440/WPVDB-9495： Popup Builder 3.45以下にSQLインジェクション
CVE-2019-14682： ACF: Better Search 3.3.1以下にCSRF
CVE-2019-14681： Deny All Firewall 1.1.7未満にCSRF
CVE-2019-14680： admin-renamer-extended 3.2.1にCSRF
CVE-2019-14679： Pricing Table Plugin 2.2にCSRF
CVE-2019-14364： Email Subscribers & Newsletters 4.1.6以下にXSS
CVE-2019-14348/JVNDB-2019-007448/WPVDB-9499： JoomSport 3.3にSQLインジェクション
CVE-2019-14216： WP SVG Icons 3.2.2以下にCSRF
CVE-2018-20974： JS Job Manager 1.0.7以下にCSRF
CVE-2018-20971： Church Admin 1.2550以下にCSRF
CVE-2018-20968： WP Ultimate Exporter 1.4.2以下にCSRF
CVE-2017-18548： Note Press 0.1.2以下にSQLインジェクション
CVE-2017-18546： Jayj Quicktag 1.3.2未満にCSRF
CVE-2017-18541： XO Security 1.5.3 以下にXSS
CVE-2017-18533： Rimons Twitter Widget 1.3以下にXSS
CVE-2017-18531： Raygun4WP 1.8.3未満にXSS
CVE-2017-18526： moreAds SE 1.4.7未満にXSS
CVE-2017-18524： Football Pool 2.6.5未満に複数のXSS
CVE-2017-18519： WP Customer Area 7.4.3以下に管理ページを介したXSS
CVE-2017-18515： WP Statistics 12.0.8以下にSQLインジェクション
CVE-2017-18513： Responsive Menu 3.1.4未満に管理インターフェイスのCSRF
CVE-2017-18512： Newsletter by Supsystic 1.1.8未満にCSRF
CVE-2017-18498/WPVDB-9486： Simple Job Board 2.4.4未満にXSS(キーワード検索)
CVE-2017-18495： Gravity Forms – Clockwork SMS 2.4.0以下にXSS
CVE-2017-18489： Contact Form 7 – Clockwork SMS 2.4.0以下にXSS
CVE-2017-18488： WordPress Backup and Migrate 1.1.47未満に複数のXSS
CVE-2017-18487： Google AdSense plugin 1.44以下に複数のXSS
CVE-2016-10915： Popup by Supsystic 1.7.9未満にCSRF
CVE-2016-10914： Add From Server 3.3.2未満にCSRF(巨大ファイルインポート)
CVE-2016-10913： WP Latest Posts 3.7.5未満にXSS
CVE-2016-10904： Olimometer 2.57 以下にSQLインジェクション
CVE-2016-10893： Crayon Syntax Highlighter 2.8.4以下に複数XSS(AJAXリクエスト)
CVE-2016-10892： Chained Quiz 1.0以下に複数のXSS
CVE-2016-10889： NextGEN Gallery 2.1.57以下にSQLインジェクション
CVE-2016-10883： Simple add pages or posts 1.7以下にCSRF(ユーザー削除機能)
CVE-2016-10870： Translate WordPress 5.0.06以下にXSS
CVE-2015-9332： WordPress Uninstall 1.2以下にすべてのテーブルを削除するCSRF
CVE-2015-9326： WP Business Intelligence Lite 1.6.3 未満にSQLインジェクション
CVE-2015-9323： 404 to 301 2.0.3 以下にSQLインジェクション
CVE-2015-9322： Erident Custom Login and Dashboard 3.5以下にCSRF
CVE-2015-9319： Greg's High Performance SEO 1.6.2未満にXSS(古いブラウザのコンテキスト)
CVE-2015-9303： Simple Share Buttons Adder 6.0.0以下にXSS
CVE-2015-9296： Download Monitor 1.7.1以下にXSS
CVE-2014-10381： User Domain Whitelist 1.5未満にCSRF
CVE-2014-10376： I Recommend This 3.7.3以下にSQLインジェクション
CVE-2012-6713： Job Manager 0.7.19以下に複数のXSS
CVE-2011-5328： User Access Manager 1.2以下にCSRF
CVE-2017-18553： Ad Buttons 2.3.2 未満にXSS
CVE-2016-10929： Advanced AJAX Page Loader 2.7.7 未満にファイル読み取り保護欠如
CVE-2018-20986： Advanced Custom Fields 5.7.8 未満にXSS
CVE-2018-20977： Schema » All In One Schema Rich Snippets 1.5.0 未満にXSS(設定画面)
CVE-2017-18554： Analytics Tracker 1.1.1 未満にXSS
CVE-2017-18555： Booking Calendar » Clockwork SMS 1.1.0 未満にXSS
CVE-2015-9336： Clean Login 1.5.1 未満に反射型XSS
CVE-2018-20979： Contact Form 7 5.0.4 未満に認可・権限・アクセス制御に関する脆弱性
CVE-2017-18560： Content Audit 1.9.2 未満にXSS
CVE-2017-18579： Corner Ad 1.0.8 未満にXSS
CVE-2012-6714： Count per Day 3.2.3 未満にXSS(検索キーワード)
CVE-2017-18578： Crafty Social Buttons 1.5.8 未満にXSS
CVE-2016-10924： Zedna eBook download 1.2 未満にディレクトリトラバーサル
CVE-2015-9334： email-newsletter 20.15 以下にSQLインジェクション
CVE-2017-18561： Embed Images in Comments 0.6 未満にXSS
CVE-2017-18576： Event Notifier 1.2.1 未満にXSS(読み込みアニメーション)
CVE-2014-10382： Featured Comments 1.2.5 未満にCSRF
CVE-2015-9327： Flickr Justified Gallery 3.4.0 未満にXSS
CVE-2016-10918： Photo Gallery by Supsystic 1.8.6 未満にCSRF
CVE-2016-10921： Gallery » Photo Gallery 1.0.1 未満にSQLインジェクション
CVE-2016-10903： GoDaddy Email Marketing 1.1.3 未満にCSRF
CVE-2009-5158： Google Analyticator 5.2.1 未満にAPIサニタイズ不足
CVE-2017-18586： Insert Pages 3.2.4 未満にディレクトリトラバーサル
CVE-2018-20982： Media Library Assistant 2.74 未満にXSS
CVE-2017-18525： Max Mega Menu 2.4 未満にXSS
CVE-2016-10928： OneLogin SAML SSO 2.2.0 未満にハードコードパスワード
CVE-2018-20984： Patreon WordPress 1.2.2 未満にオブジェクトインジェクション
CVE-2017-18585： Posts in Page 1.3.0 未満にディレクトリトラバーサル
CVE-2013-7482： ReFlex Gallery » WordPress Photo Gallery 1.4.3 未満にXSS
CVE-2014-10394： Rich Counter 1.2.0 未満にSQLインジェクション(User-Agentヘッダ)
CVE-2017-18563： RSVP and Event Management Plugin 2.3.8 未満に永続的XSS(出席者リスト)
CVE-2016-10896： SEO Redirection Plugin 4.3 未満にストアドXSS
CVE-2016-10897： Sermon Browser 0.45.16 未満に複数XSS
CVE-2017-18534： Share on Diaspora 0.7.2 未満に反射型XSS
CVE-2017-18580： Shortcodes Ultimate 5.0.1 未満にリモートコード実行の脆弱性
CVE-2013-7483： SlideDeck 2 Lite Responsive Content Slider 2.3.5 未満にファイルインジェクション
CVE-2017-18535： SmokeSignal 1.2.7 未満にXSS
CVE-2018-16206： spam-byebye 2.2.1 以下にXSS
CVE-2017-18536： Stop User Enumeration 1.3.8 未満にXSS
CVE-2019-15109： The Events Calendar 4.8.2 未満にXSS
CVE-2008-7321： TubePress 1.6.5 未満にXSS
CVE-2016-10900： Uji Countdown 2.0.7 未満にXSS
CVE-2016-10912：ユニバーサルアナリティクス 1.3.1 未満にXSS
CVE-2019-15092： Import Export WordPress Users 1.3.0 にCSVインジェクション
CVE-2016-10919： WassUp Real Time Analytics 1.9.1 未満にXSS
CVE-2019-15330： WebP Express 0.14.11 未満に任意のファイル読み込み脆弱性
CVE-2018-20988： Google Forms 0.94 未満にevalインジェクション(CAPTCHA演算)
CVE-2018-20985： WP Payeezy Pay 2.98 未満にローカルファイルインジェクション
CVE-2018-20983： WP Retina 2x 5.2.3 未満にXSS
CVE-2019-15112： Slimstat Analytics 4.8.1 未満にXSS
CVE-2019-15318： Easy Forms for Mailchimp 6.5.3 未満にコードインジェクション

状況まとめ

この怒涛の報告は、いったいどういう事なのでしょうか。通常だと月に30〜40件くらいだったかと思います。8月を終わってまだ集計もできていないのですが、300件を超える脆弱性。今後どれだけの報告が飛んでくるのやら。

冒頭でも書きましたが2015年や2016年のIDがついているものが多数あります。通常こういったズレが生じるのは、危険な脆弱性の公開を一定期間保留して開発元が修正版をリリース、ユーザがアップデートをするのを待つ場合くらいです。それも長くても1年、通常は3ヶ月〜6ヶ月。それが5年などに伸びるということは通常ありえないと思います。
とすると、これは「過去にexploitとして公開されていて未登録だったもの」を改めて調査して登録した、という可能性があるのかなと思っています。なので、通常のWordPressのサイトではそれほど慌てなくても良いのかもしれません。
ただ、上記150件を超える脆弱性の中には、つい数日前に発見されたもの、開発者が放棄して脆弱性の修正が行われていないものが存在しています。WordPressのプラグインは本当に便利ですが、こういうリスクも理解して利用してください。

追記

この記事は当初8/14の終戦記念日前日に書いていました。ところが、本当に毎日脆弱性情報が届き、リライトと推敲が追いつかない状態となってしまいました。まだまだ情報が届いているので、また改めて記事にできればと思っています。しかし今回は記事と言えるほど「思い」「考え」を伝える隙間がありませんでした。こんなページを最後までご覧いただきありがとうございました。

これだけ脆弱性の情報が増えると企画や開発、コンサルなどの業務が追いつかなくなっています。こんな私を「助けてあげたい」という奇特な方、一緒に仕事しましょう（笑）
まずは御一報をお待ちしております。

凡例

怒涛の脆弱性報告一覧

All In One WP Security & Firewall

Import any XML or CSV File to WordPress

WP Database Backup

NewStatPress

Google Doc Embedder

Invite Anyone

Custom Sidebars – Dynamic Widget Area Manager

Companion Auto Update

Easy Digital Downloads

WP Editor

WP Fastest Cache

Ultimate Member – User Profile & Membership Plugin

WP Live Chat Support

Events Manager

WP Support Plus Responsive Ticket System

WP Google Map Plugin

WP Google Maps

Woody ad snippets

rtMedia for WordPress, BuddyPress and bbPress

Photo Gallery by 10Web – Mobile-Friendly Image Gallery

Meta Box – WordPress Custom Fields Framework

FV Flowplayer Video Player

Live Forms – Visual Form Builder

Twitter Cards Meta – Ultimate Twitter Card Plugin for WordPress

Contact Form Email

CP Contact Form with PayPal

Tribulant Newsletters

Simple Fields

Simple Membership

Import Export Post as CSV File

Awesome Support

EELV Newsletter

My WP Translate

OptionTree

cforms II

Ad Inserter » Ad Manager & AdSense Ads

Activity Log

Booking Calendar Contact Form

Duplicate Post

FormBuilder

GNUCommerce

Import users from CSV with meta

Memphis Documents Library

Nelio AB Testing

Ninja Forms » The Easy and Powerful Forms Builder

Post Pay Counter

User Registration & User Profile » Profile Builder

Search Everything

Shortcode Factory

Time Sheets

Total Security

WebLibrarian

Store Toolkit for WooCommerce

WP Customer Reviews

WordPress File Upload

WP Front End Profile

Appointment Booking Calendar

Democracy Poll

GiveWP » Donation Plugin and Fundraising Platform

Mailchimp for WordPress

PDF & Print by BestWebSoft

Peter’s Login Redirect

Simple Login Log

Visitors Online by BestWebSoft

Contact Form by BestWebSoft

BestWebSoftによるプラグイン (上記Contact Form以外)

endrewwによるプラグイン

WooCommerce関連

未分類

状況まとめ

追記