皆様、暑い夏、いかがお過ごしでしょうか。
この一週間ほどWordPressプラグインの脆弱性情報がガンガン公開されています。あまりにも数が多いので記事にしました。プラグインの更新はお早めに。
なお、CVEの年コードが2015年や2016年となっているものが多数あります。過去にPoC(実証コード)が公開されているものに新たに付番したものという可能性がありますが、ここでは区別せず掲載します。
凡例
文字装飾はおおよそ以下の意味で使用しています。
「太字」は2019年に入ってから見つかった脆弱性
「黄色アンダーライン」は直近のバージョンアップで修正されたと思われる脆弱性
「赤色アンダーライン」は現時点で修正が行われていない脆弱性
- 怒涛の脆弱性報告一覧
- All In One WP Security & Firewall
- Import any XML or CSV File to WordPress
- WP Database Backup
- NewStatPress
- Google Doc Embedder
- Invite Anyone
- Custom Sidebars – Dynamic Widget Area Manager
- Companion Auto Update
- Easy Digital Downloads
- WP Editor
- WP Fastest Cache
- Ultimate Member – User Profile & Membership Plugin
- WP Live Chat Support
- Events Manager
- WP Support Plus Responsive Ticket System
- WP Google Map Plugin
- WP Google Maps
- Woody ad snippets
- rtMedia for WordPress, BuddyPress and bbPress
- Photo Gallery by 10Web – Mobile-Friendly Image Gallery
- Meta Box – WordPress Custom Fields Framework
- FV Flowplayer Video Player
- Live Forms – Visual Form Builder
- Twitter Cards Meta – Ultimate Twitter Card Plugin for WordPress
- Contact Form Email
- CP Contact Form with PayPal
- Tribulant Newsletters
- Simple Fields
- Simple Membership
- Import Export Post as CSV File
- Awesome Support
- EELV Newsletter
- My WP Translate
- OptionTree
- cforms II
- Ad Inserter » Ad Manager & AdSense Ads
- Activity Log
- Booking Calendar Contact Form
- Duplicate Post
- FormBuilder
- GNUCommerce
- Import users from CSV with meta
- Memphis Documents Library
- Nelio AB Testing
- Ninja Forms » The Easy and Powerful Forms Builder
- Post Pay Counter
- User Registration & User Profile » Profile Builder
- Search Everything
- Shortcode Factory
- Time Sheets
- Total Security
- WebLibrarian
- Store Toolkit for WooCommerce
- WP Customer Reviews
- WordPress File Upload
- WP Front End Profile
- Appointment Booking Calendar
- Democracy Poll
- GiveWP » Donation Plugin and Fundraising Platform
- Mailchimp for WordPress
- PDF & Print by BestWebSoft
- Peter’s Login Redirect
- Simple Login Log
- Visitors Online by BestWebSoft
- Contact Form by BestWebSoft
- BestWebSoftによるプラグイン (上記Contact Form以外)
- endrewwによるプラグイン
- WooCommerce関連
- 未分類
怒涛の脆弱性報告一覧
All In One WP Security & Firewall

この記事の執筆時点での最新版は4.4.0です。
CVE-2016-10866:4.2.0以下に複数のXSS問題
CVE-2016-10887:4.0.9以下に複数のSQLインジェクション
CVE-2016-10888:4.0.7以下に複数のSQLインジェクション
CVE-2016-10867:4.0.6未満にXSS(設定ページ)
CVE-2016-10868:4.0.5以下にXSS(ブラックリスト/ファイルシステム/ファイル変更検出の設定ページ)
CVE-2015-9293:3.9.8未満にXSS(ロック解除リクエスト機能)
CVE-2015-9294:3.9.5以下にXSS
CVE-2015-9310:3.9.1以下に複数のSQLインジェクション
Import any XML or CSV File to WordPress

この記事の執筆時点での最新版は3.5.1です。
CVE-2018-20978: 3.4.7未満にXSS
CVE-2017-18567: 3.4.6未満にXSS
CVE-2015-9329: 3.2.5以下に反射型XSS
CVE-2015-9330: 3.2.5未満にブラインドSQLインジェクション
CVE-2015-9331: 3.2.4未満のadminInitに脆弱性(未認証ユーザによるオプション変更)
WP Database Backup

この記事の執筆時点での最新版は5.3です。
CVE-2019-14949:5.1.2 以下にXSS
CVE-2016-10873:4.3.3 以下にXSS
CVE-2016-10874:4.3.3 未満にCSRF
CVE-2016-10875:4.3.1 以下にXSS
CVE-2016-10876:4.3.1 以下にCSRF
NewStatPress
この記事の執筆時点での最新版は1.3.2です。
CVE-2017-18575: 1.2.5 未満に複数のストアドXSS
CVE-2015-9311:1.0.6以下に反射型XSS
CVE-2015-9312:1.0.5未満にXSS(IMG要素)
CVE-2015-9313:1.0.5未満にSQLインジェクション(IMG要素)
CVE-2015-9314:1.0.4未満にXSS(Refererヘッダー)
CVE-2015-9315:1.0.1以下にSQLインジェクション
Google Doc Embedder

この記事の執筆時点での最新版は2.6.4です。
CVE-2016-10882:2.6.2未満にCSRF
CVE-2016-10881:2.6.2未満にXSS
CVE-2016-10880:2.6.1以下にXSS
Invite Anyone
この記事の執筆時点での最新版は1.4.0です。
CVE-2017-18543:1.3.16 以下に不正なアクセス制御(eメールベースの招待)
CVE-2017-18544:1.3.16以下に管理パネルのCSRF
CVE-2017-18545:1.3.16以下に入力データ確認漏れ
Custom Sidebars – Dynamic Widget Area Manager

この記事の執筆時点での最新版は3.2.3です。
CVE-2017-18510:3.1.0以下にCSRF(場所の設定/インポート/エクスポート)
CVE-2017-18511:3.0.8.1未満にCSRF
Companion Auto Update

この記事の執筆時点での最新版は3.4.2です。
CVE-2018-20972:3.2.1以下にCSRF
CVE-2018-20973:3.2.1未満にローカルファイル
Easy Digital Downloads

この記事の執筆時点での最新版は2.9.16です。
CVE-2019-15116:2.9.16以下にXSS(IPアドレスロギング)
CVE-2015-9324:2.3.3以下にSQLインジェクション
WP Editor

この記事の執筆時点での最新版は1.2.6.3です。
CVE-2016-10877: 1.2.6.3未満に複数のXSS
CVE-2016-10885: 1.2.6未満にCSRF
CVE-2016-10886: 1.2.6未満に誤った権限
WP Fastest Cache

この記事の執筆時点での最新版は0.8.9.7です。
CVE-2019-13635:0.8.9.5以下にディレクトリトラバーサル
CVE-2015-9316:0.8.4.9未満にSQLインジェクション
Ultimate Member – User Profile & Membership Plugin

この記事の執筆時点での最新版は2.0.56です。
CVE-2019-14945/WPVDB-9506:2.0.54未満にXSS
CVE-2019-14946:2.0.52未満にXSS(UMロールの作成および編集操作)
CVE-2019-14947:2.0.52未満にXSS(アカウントのアップグレード)
CVE-2018-20965:2.0.4以下にXSS
CVE-2016-10872:1.3.40未満にXSS(ログインフォーム)
CVE-2015-9304:1.3.18以下にXSS(テキスト入力)
WP Live Chat Support

この記事の執筆時点での最新版は8.0.37です。
CVE-2019-14950:8.0.27以下にXSS(GDPRページ)
CVE-2017-18507: 7.1.05以下にXSS
CVE-2017-18508: 7.1.03以下にXSS
CVE-2016-10879: 6.2.02以下にXSS
CVE-2014-10386: 4.1.0 未満にJavascriptインジェクション
Events Manager

この記事の執筆時点での最新版は5.9.5です。
CVE-2015-9298:5.6未満にコードインジェクション
CVE-2015-9297:5.6未満にXSS
CVE-2015-9299:5.5.7.1未満にDOM XSS
CVE-2015-9300:5.5.7未満に複数のXSS
CVE-2013-7477: 5.5.2 未満にXSS(予約フォーム)
CVE-2013-7478: 5.5 未満にXSS(EM_Ticket::get_post)
CVE-2013-7479: 5.3.9 未満にXSS(検索フォーム)
CVE-2013-7480: 5.3.6.1 未満にXSS(予約フォームと管理者エリア)
CVE-2012-6716: 5.1.7 未満にXSS(JSON呼び出しリンク)
WP Support Plus Responsive Ticket System

この記事の執筆時点での最新版は9.1.2です。
CVE-2019-15331: 9.1.2 未満にHTMLインジェクション
CVE-2016-10930: 7.1.0 未満に安全でない直接オブジェクト参照
CVE-2014-10387: 4.2 未満にSQLインジェクション
CVE-2014-10388: 4.2 未満にフルパスを開示する脆弱性
CVE-2014-10389: 4.2 未満に誤った認証
CVE-2014-10390: 4.2 未満にディレクトリトラバーサル
CVE-2014-10391: 4.1 未満にSQLインジェクション
WP Google Map Plugin

この記事の執筆時点での最新版は4.0.8です。
CVE-2016-10878:3.1.2未満にXSS
CVE-2015-9305:2.3.7以下にXSS
CVE-2015-9307:2.3.10以下にCSRF(場所の追加/編集機能)
CVE-2015-9308:2.3.10以下にCSRF(マップの追加/編集機能)
CVE-2015-9309:2.3.10未満にCSRF(カテゴリの追加/編集機能)
WP Google Maps

上記のプラグインとは別(MapとMapsの違い)です。執筆時点での最新版は7.11.48です。
CVE-2019-14792:7.11.35未満にXSS
Woody ad snippets

この記事の執筆時点での最新版は2.2.7です。
CVE-2019-14773:2.2.5以下に権限未確認の脆弱性
WPVDB-9490:2.2.4以下に権限未確認の脆弱性、ストアドXSS
rtMedia for WordPress, BuddyPress and bbPress

この記事の執筆時点での最新版は4.5.8です。
WPVDB-9498:4.2以下に未特定の問題
WPVDB-9497:3.10.1以下にXSS
Photo Gallery by 10Web – Mobile-Friendly Image Gallery

この記事の執筆時点での最新版は1.5.34です。
CVE-2019-14798:1.5.25未満に脆弱性(ディレクトリトラバーサルを介したローカルファイルインクルージョン)
CVE-2019-14797:1.5.23以下に認証ユーザによるストアドXSS
Meta Box – WordPress Custom Fields Framework

この記事の執筆時点での最新版は5.1.2です。
CVE-2019-14793:4.16.3未満に脆弱性(AJAX経由でファイルを削除可能)
CVE-2019-14794:4.16.2未満に処理誤り(カスタムフォルダーへのアップロード処理)
FV Flowplayer Video Player

この記事の執筆時点での最新版は7.4.2.727です。
CVE-2019-14801:7.3.15.727以下にSQLインジェクション(eメールサブスクリプション)
CVE-2019-14800:7.3.15.727未満に権限確認漏れ
CVE-2019-14799:7.3.14.727未満にXSS(eメールサブスクリプション)
Live Forms – Visual Form Builder

この記事の執筆時点での最新版は3.7.3です。
CVE-2017-18497:3.4.0未満にXSS
CVE-2015-9301:3.2.0未満にSQLインジェクション
Twitter Cards Meta – Ultimate Twitter Card Plugin for WordPress

この記事の執筆時点での最新版は2.9.0です。
CVE-2017-18503:2.5.0以下にXSS
CVE-2017-18504:2.5.0以下にCSRF
Contact Form Email

この記事の執筆時点での最新版は1.2.94です。
CVE-2018-20963:1.2.66以下にXSS
CVE-2018-20964:1.2.66未満にCSRF
CP Contact Form with PayPal

この記事の執筆時点での最新版は1.3.06です。
CVE-2019-14785: 1.2.99未満にXSS(公開ウィザード)
CVE-2019-14784: 1.2.98以下にXSS
Tribulant Newsletters

この記事の執筆時点での最新版は4.6.19です。
CVE-2019-14787:4.6.19未満にXSS
CVE-2019-14788: 4.6.19未満にディレクトリトラバーサル/リモートPHPコード実行
CVE-2018-20987: 4.6.8.6 未満にPHPオブジェクトインジェクション
Simple Fields
この記事の執筆時点での最新版は1.4.11です。
CVE-2015-9302: 1.4.11以下にXSS
CVE-2013-7476: 1.2以下にCSRF
Simple Membership

この記事の執筆時点での最新版は3.8.8です。
CVE-2017-18499: 3.5.7以下にXSS
CVE-2016-10884: 3.3.3以下に複数のCSRF
Import Export Post as CSV File

この記事の執筆時点での最新版は6.0.2です。
CVE-2018-20967: 5.6.1未満にCSRF
CVE-2015-9306: 3.8.1未満にXSS
Awesome Support

この記事の執筆時点での最新版は5.8.0です。
CVE-2015-9317: 3.1.7未満にXSS
CVE-2015-9318: 3.1.7未満に返信でショートコードが許可される脆弱性
EELV Newsletter

この記事の執筆時点での最新版は4.7.3です。
CVE-2017-18522: 4.6.1以下のアドレス帳にXSS
CVE-2017-18523: 4.6.1以下のアドレス帳にCSRF
My WP Translate

この記事の執筆時点での最新版は1.0.8です。
CVE-2017-18568: 1.0.4以下にXSS
CVE-2017-18569: 1.0.4以下にCSRF
OptionTree

この記事の執筆時点での最新版は2.7.3です。
CVE-2019-15320: 2.7.3 未満にオブジェクトインジェクション
CVE-2019-15321: 2.7.3 未満にオブジェクトインジェクション
CVE-2019-15319: 2.7.0 未満にオブジェクトインジェクション
CVE-2016-10895: 2.6.0未満にXSS(AJAXリクエスト)
CVE-2015-9320: 2.5.4以下にXSS(add_query_arg)
cforms II
この記事の執筆時点での最新版は15.0.2です。
CVE-2019-15238: 15.0.2未満にCSRF(IPアドレスフィールド)
WPVDB-9505: 15.0.1以下にHTMLインジェクションとCSRF
CVE-2017-18559: 14.13.3 未満に複数のXSS
CVE-2017-18570: 14.13 未満にSQLインジェクション(エントリ削除/エントリダウンロード)
CVE-2015-9333: 14.6.10 未満にSQLインジェクション
CVE-2014-10377: 13.2 未満にXSS(lib_ajax.php)
CVE-2014-10393: 10.5 未満にXSS
CVE-2014-10392: 10.2 未満にXSS
Ad Inserter » Ad Manager & AdSense Ads

この記事の執筆時点での最新版は2.5.0です。
CVE-2019-15324: 2.4.22 未満にリモートコード実行の脆弱性
CVE-2019-15323: 2.4.20 未満にパストラバーサル
Activity Log

この記事の執筆時点での最新版は2.5.2です。
CVE-2016-10891: 2.3.3 未満にXSS
CVE-2016-10890: 2.3.2 未満にXSS
Booking Calendar Contact Form

この記事の執筆時点での最新版は1.1.91です。
CVE-2016-10908: 1.0.24 未満にXSS
CVE-2016-10909: 1.0.24 未満にSQLインジェクション
Duplicate Post

この記事の執筆時点での最新版は3.2.3です。
CVE-2014-10378: 2.6 未満にXSS
CVE-2014-10379: 2.6 未満にSQLインジェクション
FormBuilder

この記事の執筆時点での最新版は1.08です。
CVE-2016-10910: 1.06 未満に複数のXSS
CVE-2012-6715: 0.9.1 未満にリファラによるXSS
GNUCommerce

この記事の執筆時点での最新版は1.5.4です。
CVE-2017-18572: 1.4.2未満にXSS
CVE-2016-10920: 0.5.7-BETA未満にXSS
Import users from CSV with meta

この記事の執筆時点での最新版は1.14.3.2です。
CVE-2019-14683: 1.14.2.2未満にCSRF
CVE-2019-15326: 1.14.2.1 未満にディレクトリトラバーサル
CVE-2019-15327: 1.14.1.3 未満にXSS
CVE-2019-15328: 1.14.0.3 未満にXSS
CVE-2019-15329: 1.14.0.3 未満にCSRF
Memphis Documents Library

この記事の執筆時点での最新版は3.9.20です。
CVE-2014-10383: 3.0 未満にリモートファイル読み込みの脆弱性
CVE-2014-10384: 3.0 未満にローカルファイル読み込みの脆弱性
CVE-2014-10385: 3.0 未満にXSS($_REQUEST)
Nelio AB Testing

この記事の執筆時点での最新版は4.7.6です。
CVE-2017-18547: 4.6.4未満にCSRF(実験フォーム)
CVE-2016-10927: 4.5.11 未満にCSRF(ajax/iesupport.php)
CVE-2016-10926: 4.5.9 未満にCSRF(ajax/iesupport.php)
Ninja Forms » The Easy and Powerful Forms Builder

この記事の執筆時点での最新版は3.4.18です。
CVE-2019-15025: 3.3.21.2以下にSQLインジェクション
CVE-2018-20981: 3.3.9 未満に制限が不十分な問題(個人情報エクスポート要求)
CVE-2018-20980: 3.2.15 未満にパラメータ改ざんの脆弱性
CVE-2017-18574: 3.0.31 未満にHTMLのエスケープ不足の脆弱性
Post Pay Counter

この記事の執筆時点での最新版は2.746です。
CVE-2017-18583: 2.731 未満にPHPオブジェクトインジェクション
CVE-2017-18584: 2.731 未満に設定更新時の権限確認漏れ
User Registration & User Profile » Profile Builder

この記事の執筆時点での最新版は3.0.3です。
CVE-2016-10911: 2.4.2 未満に複数のXSS
CVE-2015-9328: 2.2.5 未満にXSS
CVE-2015-9337: 2.1.4 未満にアクセス制御欠如(AJAX経由でのアドオン制御)
CVE-2014-10380: 1.1.66 未満に複数のXSS
Search Everything

この記事の執筆時点での最新版は8.1.9です。
CVE-2017-18571: 8.1.7 未満にWordPress 4.7.xに関連するSQLインジェクション
CVE-2016-10917: 8.1.6 未満にSQLインジェクション(空の検索文字列に関連)
Shortcode Factory

この記事の執筆時点での最新版は2.8.1です。
CVE-2019-15322: 2.8 未満にローカルファイルインジェクション
CVE-2015-9321: 1.1.1 未満にXSS
Time Sheets

この記事の執筆時点での最新版は1.14.5です。
CVE-2017-18582: 1.5.2 未満に複数のXSS
CVE-2017-18581: 1.5.0 未満にXSS
Total Security

この記事の執筆時点での最新版は3.4.8です。
CVE-2016-10898: 3.4.1 未満にXSS
CVE-2016-10899: 3.4.1 未満に設定変更に関する脆弱性
WebLibrarian

この記事の執筆時点での最新版は3.5.5です。
CVE-2017-18540: 3.4.8.7 未満にXSS(フロントエンドのショートコード)
CVE-2017-18539: 3.4.8.6 未満にXSS(フロントエンドのショートコード)
CVE-2017-18538: 3.4.8.5 未満にXSS(フロントエンドのショートコード)
Store Toolkit for WooCommerce

この記事の執筆時点での最新版は2.1.1です。
CVE-2016-10923: 1.5.8 未満に認可・権限・アクセス制御に関する脆弱性
CVE-2016-10922: 1.5.7 未満に認可・権限・アクセス制御に関する脆弱性
WP Customer Reviews

この記事の執筆時点での最新版は3.4.1です。
CVE-2016-10901: 3.0.9 未満にXSS(管理ツール)
CVE-2016-10902: 3.0.9 未満にCSRF(管理ツール)
WordPress File Upload

この記事の執筆時点での最新版は4.11.2です。
CVE-2015-9341: 3.4.1 未満にアップロード制限欠如(.php, .js)
CVE-2015-9340: 3.0.0 未満にアップロード制限欠如(php, js, pht, php3, php4, php5, phtml, htm, html, htaccess)
CVE-2015-9339: 2.7.1 未満にアップロード制限欠如(.js)
CVE-2015-9338: 2.5.0 未満はアップロード制限欠如(.php)
WP Front End Profile

この記事の執筆時点での最新版は0.2.2です。
CVE-2019-15110: 0.2.2 未満にXSS
CVE-2019-15111: 0.2.2 未満に権限昇格の脆弱性
Appointment Booking Calendar

この記事の執筆時点での最新版は1.3.25です。
CVE-2019-14791: 1.3.18にXSS
CVE-2016-10916: 1.1.24未満にSQLインジェクション
Democracy Poll
この記事の執筆時点での最新版は5.5.6.3です。
CVE-2017-18521: 5.4未満にCSRF
CVE-2017-18520: 5.4未満にXSS
GiveWP » Donation Plugin and Fundraising Platform

この記事の執筆時点での最新版は2.5.4です。
CVE-2019-13578/WPVDB-9504: 2.5.0以下にSQLインジェクション
CVE-2019-15317: 2.4.7 未満にXSS
Mailchimp for WordPress

この記事の執筆時点での最新版は4.5.3です。
CVE-2017-18577: 4.1.8 未満にXSS
CVE-2016-10871: 4.0.11未満にXSS(統合設定ページ)
PDF & Print by BestWebSoft

この記事の執筆時点での最新版は2.1.8です。
CVE-2018-20970: 2.0.3 未満に複数のXSS
CVE-2017-18528: 1.9.4未満に複数のXSS
Peter’s Login Redirect
この記事の執筆時点での最新版は2.9.4です。
CVE-2019-15115: 2.9.2未満にCSRF
CVE-2016-10925: 2.9.1 未満はXSS(リダイレクトURL編集)
Simple Login Log

この記事の執筆時点での最新版は1.1.3です。
CVE-2017-18573: 1.1.2未満にSQLインジェクション
CVE-2017-18514: 1.1.2未満にSQLインジェクション
Visitors Online by BestWebSoft

この記事の執筆時点での最新版は1.0.8です。
CVE-2017-18537: 1.0.0 未満に複数のXSS
CVE-2015-9325: 0.4以下にSQLインジェクション
Contact Form by BestWebSoft

この記事の執筆時点での最新版は4.1.5です。
CVE-2017-18491: 4.0.6未満に複数のXSS
CVE-2016-10869: 4.0.2以下にXSS
CVE-2015-9295: 3.96以下にXSS
CVE-2013-7475: 3.52以下にXSS
CVE-2013-7481: 3.3.5 未満にXSS
BestWebSoftによるプラグイン (上記Contact Form以外)

CVE-2017-18490: Contact Form Multi by BestWebSoft 1.2.1以下に複数のXSS
CVE-2017-18492: Contact Form to DB by BestWebSoft 1.5.7以下に複数のXSS
CVE-2017-18505: Twitter Button by BestWebSoft 2.55未満にXSS
CVE-2017-18493: Custom Admin Page by BestWebSoft 0.1.2未満に複数のXSS
CVE-2017-18494: Custom Search by BestWebSoft 1.36に複数のXSS
CVE-2017-18500: Social Buttons Pack by BestWebSoft 1.1.1未満に複数のXSS
CVE-2017-18501: Social Login by BestWebSoft 0.2以下に複数のXSS
CVE-2017-18502: Subscriber by BestWebSoft 1.3.5未満に複数のXSS
CVE-2017-18496: Htaccess by BestWebSoft 1.7.6未満に複数のXSS
CVE-2017-18542: Zendesk Help Center by BestWebSoft 1.0.5 未満に複数のXSS
CVE-2017-18517: Pinterest by BestWebSoft 1.0.5未満に複数のXSS
CVE-2017-18518: SMTP by BestWebSoft 1.1.0未満に複数のXSS
CVE-2017-18530: Rating by BestWebSoft 0.2以下に複数のXSS
CVE-2017-18527: Pagination by BestWebSoft 1.0.7未満に複数のXSS
CVE-2017-18529: PromoBar by BestWebSoft 1.1.1未満に複数のXSS
CVE-2017-18532: Realty by BestWebSoft 1.1.0未満に複数のXSS
CVE-2017-18566: User Role by BestWebSoft 1.5.6未満に複数のXSS
CVE-2017-18556: Google Analytics by BestWebSoft 1.7.1 未満に複数のXSS
CVE-2017-18557: Google Maps by BestWebSoft 1.3.6 未満に複数のXSS
CVE-2017-18516: LinkedIn by BestWebSoft 1.0.5 未満に複数のXSS
CVE-2017-18558: Testimonials by BestWebSoft 0.1.9 未満に複数のXSS
CVE-2017-18562: Error Log Viewer by BestWebSoft 1.0.6 未満に複数のXSS
CVE-2017-18564: Sender by BestWebSoft 1.2.1 未満に複数のXSS
CVE-2017-18565: Updater by BestWebSoft 1.35 未満に複数のXSS
CVE-2015-9335: Limit Attempts by BestWebSoft 1.1.1 未満にSQLインジェクション(IPアドレスの取り扱い)
endrewwによるプラグイン
WPVDB-9493:ND Donations 1.3以下に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9494:Booking 2.4以下に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9496:Learning Courses 4.7以下に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9501:Restaurant Reservations 1.3以下に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9491:Travel Management 1.5以下に脆弱性(未認証ユーザによるオプション変更)
WooCommerce関連

CVE-2019-14948/WPVDB-9502:PPOM for WooCommerce 18.4未満にXSS(メタデータ構造のインポート)
CVE-2019-14774:woo-variation-swatches 1.0.61にXSS
CVE-2019-14796:mq-woocommerce-products-price-bulk-edit 2.0にXSS
WPVDB-9487:Order XML File Export Import for WooCommerce 1.2.2以下にXSS
CVE-2018-20966:Booster for WooCommerce 3.8.0以下にXSS(商品のページング機能)
CVE-2017-18506:WooCommerce PDF Invoices & Packing Slips 2.0.13以下にXSS
未分類
WPVDB-9511: Easy Property Listings 3.4未満にXSS
WPVDB-9503:Simple 301 Redirects Bulk Uploader 1.2.4以下に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9500: Login or Logout Menu Item 1.1.1に脆弱性(未認証ユーザによるオプション変更)
WPVDB-9489: CSS & JavaScript Toolbox 8.4.1以下に脆弱性(データベースバックアップ漏洩)
CVE-2019-15114: FormCraft – Contact Form Builder 1.2.2未満にCSRF
CVE-2019-15113: Companion Sitemap Generator 3.7.0以下にCSRF
CVE-2019-15082: 360 Product Rotation 1.4.8 未満に反射型XSS
CVE-2019-14795: toggle-the-title 1.4にXSS
CVE-2019-14790: limb-gallery 1.4.0にXSS
CVE-2019-14789: Custom 404 Pro 3.2.8にXSS
CVE-2019-14786: WordPress SEO Plugin 1.0.27に権限確認漏れ
CVE-2019-14695/JVNDB-2019-007440/WPVDB-9495: Popup Builder 3.45以下にSQLインジェクション
CVE-2019-14682: ACF: Better Search 3.3.1以下にCSRF
CVE-2019-14681: Deny All Firewall 1.1.7未満にCSRF
CVE-2019-14680: admin-renamer-extended 3.2.1にCSRF
CVE-2019-14679: Pricing Table Plugin 2.2にCSRF
CVE-2019-14364: Email Subscribers & Newsletters 4.1.6以下にXSS
CVE-2019-14348/JVNDB-2019-007448/WPVDB-9499: JoomSport 3.3にSQLインジェクション
CVE-2019-14216: WP SVG Icons 3.2.2以下にCSRF
CVE-2018-20974: JS Job Manager 1.0.7以下にCSRF
CVE-2018-20971: Church Admin 1.2550以下にCSRF
CVE-2018-20968: WP Ultimate Exporter 1.4.2以下にCSRF
CVE-2017-18548: Note Press 0.1.2以下にSQLインジェクション
CVE-2017-18546: Jayj Quicktag 1.3.2未満にCSRF
CVE-2017-18541: XO Security 1.5.3 以下にXSS
CVE-2017-18533: Rimons Twitter Widget 1.3以下にXSS
CVE-2017-18531: Raygun4WP 1.8.3未満にXSS
CVE-2017-18526: moreAds SE 1.4.7未満にXSS
CVE-2017-18524: Football Pool 2.6.5未満に複数のXSS
CVE-2017-18519: WP Customer Area 7.4.3以下に管理ページを介したXSS
CVE-2017-18515: WP Statistics 12.0.8以下にSQLインジェクション
CVE-2017-18513: Responsive Menu 3.1.4未満に管理インターフェイスのCSRF
CVE-2017-18512: Newsletter by Supsystic 1.1.8未満にCSRF
CVE-2017-18498/WPVDB-9486: Simple Job Board 2.4.4未満にXSS(キーワード検索)
CVE-2017-18495: Gravity Forms – Clockwork SMS 2.4.0以下にXSS
CVE-2017-18489: Contact Form 7 – Clockwork SMS 2.4.0以下にXSS
CVE-2017-18488: WordPress Backup and Migrate 1.1.47未満に複数のXSS
CVE-2017-18487: Google AdSense plugin 1.44以下に複数のXSS
CVE-2016-10915: Popup by Supsystic 1.7.9未満にCSRF
CVE-2016-10914: Add From Server 3.3.2未満にCSRF(巨大ファイルインポート)
CVE-2016-10913: WP Latest Posts 3.7.5未満にXSS
CVE-2016-10904: Olimometer 2.57 以下にSQLインジェクション
CVE-2016-10893: Crayon Syntax Highlighter 2.8.4以下に複数XSS(AJAXリクエスト)
CVE-2016-10892: Chained Quiz 1.0以下に複数のXSS
CVE-2016-10889: NextGEN Gallery 2.1.57以下にSQLインジェクション
CVE-2016-10883: Simple add pages or posts 1.7以下にCSRF(ユーザー削除機能)
CVE-2016-10870: Translate WordPress 5.0.06以下にXSS
CVE-2015-9332: WordPress Uninstall 1.2以下にすべてのテーブルを削除するCSRF
CVE-2015-9326: WP Business Intelligence Lite 1.6.3 未満にSQLインジェクション
CVE-2015-9323: 404 to 301 2.0.3 以下にSQLインジェクション
CVE-2015-9322: Erident Custom Login and Dashboard 3.5以下にCSRF
CVE-2015-9319: Greg's High Performance SEO 1.6.2未満にXSS(古いブラウザのコンテキスト)
CVE-2015-9303: Simple Share Buttons Adder 6.0.0以下にXSS
CVE-2015-9296: Download Monitor 1.7.1以下にXSS
CVE-2014-10381: User Domain Whitelist 1.5未満にCSRF
CVE-2014-10376: I Recommend This 3.7.3以下にSQLインジェクション
CVE-2012-6713: Job Manager 0.7.19以下に複数のXSS
CVE-2011-5328: User Access Manager 1.2以下にCSRF
CVE-2017-18553: Ad Buttons 2.3.2 未満にXSS
CVE-2016-10929: Advanced AJAX Page Loader 2.7.7 未満にファイル読み取り保護欠如
CVE-2018-20986: Advanced Custom Fields 5.7.8 未満にXSS
CVE-2018-20977: Schema » All In One Schema Rich Snippets 1.5.0 未満にXSS(設定画面)
CVE-2017-18554: Analytics Tracker 1.1.1 未満にXSS
CVE-2017-18555: Booking Calendar » Clockwork SMS 1.1.0 未満にXSS
CVE-2015-9336: Clean Login 1.5.1 未満に反射型XSS
CVE-2018-20979: Contact Form 7 5.0.4 未満に認可・権限・アクセス制御に関する脆弱性
CVE-2017-18560: Content Audit 1.9.2 未満にXSS
CVE-2017-18579: Corner Ad 1.0.8 未満にXSS
CVE-2012-6714: Count per Day 3.2.3 未満にXSS(検索キーワード)
CVE-2017-18578: Crafty Social Buttons 1.5.8 未満にXSS
CVE-2016-10924: Zedna eBook download 1.2 未満にディレクトリトラバーサル
CVE-2015-9334: email-newsletter 20.15 以下にSQLインジェクション
CVE-2017-18561: Embed Images in Comments 0.6 未満にXSS
CVE-2017-18576: Event Notifier 1.2.1 未満にXSS(読み込みアニメーション)
CVE-2014-10382: Featured Comments 1.2.5 未満にCSRF
CVE-2015-9327: Flickr Justified Gallery 3.4.0 未満にXSS
CVE-2016-10918: Photo Gallery by Supsystic 1.8.6 未満にCSRF
CVE-2016-10921: Gallery » Photo Gallery 1.0.1 未満にSQLインジェクション
CVE-2016-10903: GoDaddy Email Marketing 1.1.3 未満にCSRF
CVE-2009-5158: Google Analyticator 5.2.1 未満にAPIサニタイズ不足
CVE-2017-18586: Insert Pages 3.2.4 未満にディレクトリトラバーサル
CVE-2018-20982: Media Library Assistant 2.74 未満にXSS
CVE-2017-18525: Max Mega Menu 2.4 未満にXSS
CVE-2016-10928: OneLogin SAML SSO 2.2.0 未満にハードコードパスワード
CVE-2018-20984: Patreon WordPress 1.2.2 未満にオブジェクトインジェクション
CVE-2017-18585: Posts in Page 1.3.0 未満にディレクトリトラバーサル
CVE-2013-7482: ReFlex Gallery » WordPress Photo Gallery 1.4.3 未満にXSS
CVE-2014-10394: Rich Counter 1.2.0 未満にSQLインジェクション(User-Agentヘッダ)
CVE-2017-18563: RSVP and Event Management Plugin 2.3.8 未満に永続的XSS(出席者リスト)
CVE-2016-10896: SEO Redirection Plugin 4.3 未満にストアドXSS
CVE-2016-10897: Sermon Browser 0.45.16 未満に複数XSS
CVE-2017-18534: Share on Diaspora 0.7.2 未満に反射型XSS
CVE-2017-18580: Shortcodes Ultimate 5.0.1 未満にリモートコード実行の脆弱性
CVE-2013-7483: SlideDeck 2 Lite Responsive Content Slider 2.3.5 未満にファイルインジェクション
CVE-2017-18535: SmokeSignal 1.2.7 未満にXSS
CVE-2018-16206: spam-byebye 2.2.1 以下にXSS
CVE-2017-18536: Stop User Enumeration 1.3.8 未満にXSS
CVE-2019-15109: The Events Calendar 4.8.2 未満にXSS
CVE-2008-7321: TubePress 1.6.5 未満にXSS
CVE-2016-10900: Uji Countdown 2.0.7 未満にXSS
CVE-2016-10912: ユニバーサルアナリティクス 1.3.1 未満にXSS
CVE-2019-15092: Import Export WordPress Users 1.3.0 にCSVインジェクション
CVE-2016-10919: WassUp Real Time Analytics 1.9.1 未満にXSS
CVE-2019-15330: WebP Express 0.14.11 未満に任意のファイル読み込み脆弱性
CVE-2018-20988: Google Forms 0.94 未満にevalインジェクション(CAPTCHA演算)
CVE-2018-20985: WP Payeezy Pay 2.98 未満にローカルファイルインジェクション
CVE-2018-20983: WP Retina 2x 5.2.3 未満にXSS
CVE-2019-15112: Slimstat Analytics 4.8.1 未満にXSS
CVE-2019-15318: Easy Forms for Mailchimp 6.5.3 未満にコードインジェクション
状況まとめ
この怒涛の報告は、いったいどういう事なのでしょうか。通常だと月に30〜40件くらいだったかと思います。8月を終わってまだ集計もできていないのですが、300件を超える脆弱性。今後どれだけの報告が飛んでくるのやら。
冒頭でも書きましたが2015年や2016年のIDがついているものが多数あります。通常こういったズレが生じるのは、危険な脆弱性の公開を一定期間保留して開発元が修正版をリリース、ユーザがアップデートをするのを待つ場合くらいです。それも長くても1年、通常は3ヶ月〜6ヶ月。それが5年などに伸びるということは通常ありえないと思います。
とすると、これは「過去にexploitとして公開されていて未登録だったもの」を改めて調査して登録した、という可能性があるのかなと思っています。なので、通常のWordPressのサイトではそれほど慌てなくても良いのかもしれません。
ただ、上記150件を超える脆弱性の中には、つい数日前に発見されたもの、開発者が放棄して脆弱性の修正が行われていないものが存在しています。WordPressのプラグインは本当に便利ですが、こういうリスクも理解して利用してください。
追記
この記事は当初8/14の終戦記念日前日に書いていました。ところが、本当に毎日脆弱性情報が届き、リライトと推敲が追いつかない状態となってしまいました。まだまだ情報が届いているので、また改めて記事にできればと思っています。しかし今回は記事と言えるほど「思い」「考え」を伝える隙間がありませんでした。こんなページを最後までご覧いただきありがとうございました。
まずは御一報をお待ちしております。