診断レポート

• WordPress Coreは、バージョン6.4.3までの間に、redirect_guess_404_permalink関数を通じて機密情報が露出する脆弱性があります。これにより、認証されていない攻撃者が、「publicly_queryable」ポストステータスが「false」に設定されたカスタムポストのスラッグを露出させることが可能になります。
  提供元

  This record contains material that is subject to copyright.
  2012-2024 Defiant Inc.
  License:
  Defiant hereby grants you a perpetual, worldwide, non-exclusive, no- charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant's copyright designation and this license in any such copy. Read more.

• WordPress Coreは、バージョン6.5.5までのさまざまなバージョンにおいて、テンプレートパートブロックを通じてストレージ型クロスサイトスクリプティング（XSS）に対して脆弱です。これは、'tagName'属性に対する入力のサニタイズ（無害化）と出力のエスケープが不十分なためです。このため、認証された攻撃者がContributorレベル以上のアクセス権を持っている場合、ユーザーがアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。CVE-2024-37492は重複したCVEの割り当てです。
  提供元

  This record contains material that is subject to copyright.
  2012-2024 Defiant Inc.
  License:
  Defiant hereby grants you a perpetual, worldwide, non-exclusive, no- charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant's copyright designation and this license in any such copy. Read more.

• WordPress Coreは、Template Partブロックを介して6.5.5までのさまざまなバージョンでディレクトリトラバーサルの脆弱性があります。これにより、Contributorレベル以上のアクセス権を持つ認証済みの攻撃者が、Windowsで動作しているサイトに任意のHTMLファイルを含めることが可能になります。
  提供元

  This record contains material that is subject to copyright.
  2012-2024 Defiant Inc.
  License:
  Defiant hereby grants you a perpetual, worldwide, non-exclusive, no- charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant's copyright designation and this license in any such copy. Read more.

• WordPress Coreは、6.5.5以前のさまざまなバージョンにおいて、HTML APIを介したストレージ型クロスサイトスクリプティング (XSS) の脆弱性があります。これは、URLの入力サニタイズと出力エスケープが不十分なためです。このため、認証された攻撃者（Contributorレベル以上のアクセス権を持つ）が、ユーザーがインジェクトされたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。
  提供元

  This record contains material that is subject to copyright.
  2012-2024 Defiant Inc.
  License:
  Defiant hereby grants you a perpetual, worldwide, non-exclusive, no- charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant's copyright designation and this license in any such copy. Read more.

最新バージョンへのアップデートを推奨いたします。

• WordPressのContact Form 7プラグインは、5.9までのすべてのバージョンで、‘active-tab’パラメータを介して反射型クロスサイトスクリプティングに対して脆弱です。これは、入力のサニタイズと出力のエスケープが不十分なためです。この脆弱性により、認証されていない攻撃者が、ユーザーをリンクをクリックするなどの行動に誘導することに成功すれば、任意のウェブスクリプトをページに注入することが可能になります。
  提供元

  This record contains material that is subject to copyright.
  2012-2024 Defiant Inc.
  License:
  Defiant hereby grants you a perpetual, worldwide, non-exclusive, no- charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant's copyright designation and this license in any such copy. Read more.

• WordPressのContact Form 7プラグインは、5.9.4を含むすべてのバージョンでオープンリダイレクトの脆弱性があります。これは、偽のページを介してコンタクトフォームにアクセスすることで提供されたリダイレクトURLの検証が不十分であるためです。このため、認証されていない攻撃者が、ユーザーを悪意のあるサイトにリダイレクトすることが可能になります。攻撃者は、ユーザーを騙して特定のアクションを実行させることができれば、リダイレクトを成功させることができます。
  提供元

  This record contains material that is subject to copyright.
  2012-2024 Defiant Inc.
  License:
  Defiant hereby grants you a perpetual, worldwide, non-exclusive, no- charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant's copyright designation and this license in any such copy. Read more.

最新バージョンへのアップデートを推奨いたします。

タイプ：GET　パラメータ名：userID-1

タイプ：POST　パラメータ名：userID-2

XSS（クロスサイトスクリプティング）が検知されると、悪意あるプログラムが埋め込まれ入力内容が盗まれたり、不正利用される可能性があります。

入力内容はそのまま表示せず、別の文字列（「<」や「&」など）に変換して、プログラムが実行されないように対策することを推奨いたします。

タイプ：GET　パラメータ名：userId

SQLインジェクションが検知されると、データベースに保存されている情報が盗まれたり、データの改ざんなど様々な被害を受ける可能性があります。

特殊な意味を持つ文字を無害な文字（「'」を「”」など）に変換する処理を行ったり、詳細なエラーを表示しないように対策することを推奨いたします。

SSL証明書の有効期限が切れると、暗号化が無効となり通信内容が盗聴される可能性があります。

SSL証明書の有効期限を更新することを推奨いたします。

http://example.com/wp5_9_1/wp-content/2024/03/20241203-1.jpg

http://example.com/wp5_9_1/wp-content/2024/03/20241203-2.jpg

http://example.com/wp5_9_1/wp-content/2024/03/20241203-3.jpg

WordPressのメディアファイルが特定されると、画像や動画にアクセスされ、個人情報が漏えいする可能性があります。

メディアファイルへのアクセス制限を設けることを推奨いたします。

wp-config.phpが第三者にアクセスされると、データベース接続情報や認証情報が漏えいする可能性があります。

wp-config.phpへのアクセス制限を設けることを推奨いたします。

wp-config.phpのバックアップファイルが第三者にアクセスされると、データベース接続情報や認証情報が漏えいする可能性があります。

バックアップファイルの削除や移動、アクセス制限を設けることを推奨いたします。

データベースのバックアップファイルが第三者にアクセスされると、中身が漏えいし、サイトが不正利用される可能性があります。

バックアップファイルへのアクセス制限を設けたり、安全な場所で保管することを推奨いたします。

debug.logが第三者にアクセスされると、エラーや警告などの詳細なログが漏えいし、攻撃者に利用される可能性があります。

debug.logへのアクセス制限を設けたり、ブラウザから直接アクセスできない場所に移動させることを推奨いたします。

readmeファイルが第三者にアクセスされると、サイト構成やバージョン情報が漏えいし、攻撃の糸口となる可能性があります。

readmeファイルの削除やアクセス制限を設けたり、ファイルを非公開にすることを推奨いたします。

wp-cron.phpが第三者にアクセスされると、スケジュールされたイベントやタスクが漏えいし、攻撃の糸口となる可能性があります。

wp-cron.phpへのアクセス制限を設けることを推奨いたします。

緊急用パスワード変更ファイルが第三者にアクセスされると、管理者のパスワードが変更される可能性があります。

emergency.phpへのアクセス制限を設けたり、削除や名前変更することを推奨いたします。

installer-log.txtが第三者にアクセスされると、ログに含まれる情報が漏えいする可能性があります。

installer-log.txtの削除や、アクセス制限を設けることを推奨いたします。

mu-pluginsディレクトリが第三者にアクセスされると、プラグインの脆弱性を突いた攻撃を受ける可能性があります。

不要なプラグインの無効化や、mu-pluginsディレクトリへのアクセス制限を設けることを推奨いたします。

SSL証明書の有効期限切れが近づくと、セキュリティリスクが高まり攻撃を受けやすくなる可能性があります。

SSL証明書の更新を早期に行い、期限切れを回避することを推奨いたします。

sample.com

www.sample.com

SSL証明書のドメイン名が一致していないと、通信が盗聴される可能性があります。

ドメインに一致するSSL証明書を使用することを推奨いたします。

SSL証明書が確認できないと、サイトのセキュリティが低く見なされ、信頼性が失われる可能性があります。

SSL証明書が正しく設定されているか確認することを推奨いたします。