WordPress 脆弱性情報を扱う WPScan サービスについて

 wpvulndbでGAされて以降のサービスプラン

 サービスが始まった頃の試用版的なサービスでは、新しい脆弱性が登録される度にメールでの通知があっただが、現在は Enterprise契約以外は日次のお知らせしか配信されないようである。
 
以前は、無課金プランでも脆弱性情報が登録される度にメールで新規脆弱性情報が送り付けられていたが、サービスがGAされてプランの見直しがあったらしい。サイトも wpvulndb.com は閉鎖されて、wpscan.com に統一された。とわいえ、プラン設計が中々厳しくて単なる有料プランまででは、俯瞰的にwpvulndbを使うことが出来ない。
 
脆弱性情報詳細を知るためには wpvuln id を指定して参照する必要がある。もしくは、WPプラグイン名やテーマ名を指定する。
CVSS値が「緊急」相当のものをリストアップしたい、というような視点では使えない。
 
俯瞰的にコレクションしたい場合は、要問い合わせな Enterprise 契約が必要になる。Professionalで €25/Month なので、極端に高いことはないとは思うのだが、手を出しづらい...。
 
とはいえ詳細情報が取れても公開ページと同等なので €5/Month の Starter プランでも十分なのだなぁ...。
例)
Advanced Booking Calendar < 1.6.2 - Unauthenticated SQL Injection
 

WPScanの脆弱性情報サブスクリプションサービスの契約プラン
wpscan.com

wpvulndb.com の WordPress ぜい弱性情報マンスリーまとめ
This is your WPScan Vulnerabilities Monthly Digest for October 2020.
WordPress Core Vulnerabilities
WordPress < 5.5.2 - Cross-Site Request Forgery (CSRF) to Change Theme Background
WordPress < 5.5.2 - Protected Meta That Could Lead to Arbitrary File Deletion
WordPress < 5.5.2 - Stored XSS in Post Slugs
WordPress < 5.5.2 - DoS Attack Could Lead to RCE
WordPress < 5.5.2 - XML-RPC Privilege Escalation
WordPress < 5.5.2 - Cross-Site Scripting (XSS) via Global Variables
WordPress < 5.5.2 - Disable Spam Embeds from Disabled Sites on a Multisite Network
WordPress < 5.5.2 - Hardening Deserialization Requests
WordPress Plugin Vulnerabilities
SW Ajax WooCommerce Search < 1.2.8 - Unauthenticated Reflected XSS & XFS
Advanced Booking Calendar < 1.6.2 - Unauthenticated SQL Injection
CM Download Manager < 2.8.0 - Authenticated Cross-Site Scripting
Loginizer < 1.6.4 - Unauthenticated SQL Injection
Helios Solutions Brand Logo Slider <= 2.1 - Authenticated Arbitrary File Upload
SuperStoreFinder Plugins - Unauthenticated Arbitrary File Upload
Simple Download Monitor < 3.8.9 - SQL Injection
Simple Download Monitor < 3.8.9 - Unauthenticated Cross-Site Scripting
TI WooCommerce Wishlist < 1.21.12 - Authenticated WP Options Change
Comment Press < 2.7.2 - Unauthenticated Cross-Frame Scripting
Realia <= 1.4 - Unauthenticated IDOR leading to Arbitrary Post Deletion
Quick Chat <= 4.14 - Authenticated Stored Cross-Site Scripting
Quick Chat <= 4.14 - Unauthenticated Stored Cross-Site Scripting
Child Theme Creator by Orbisius < 1.5.2 - CSRF to Arbitrary File Modification/Creation
Live Chat - Live support < 3.2.0 - Cross-Site Request Forgery
PowerPress < 8.3.8 - Authenticated Arbitrary File Upload leading to RCE
Dynamic Content for Elementor < 1.9.6 - Authenticated RCE
HyperComments <= 1.2.2 - Unauthenticated Arbitrary File Deletion
WPBakery Page Builder < 6.4.1 - Authenticated Stored Cross-Site Scripting (XSS)
Post Grid < 2.0.73 & Team Showcase < 1.22.16 - PHP Object Injection
Post Grid < 2.0.73 & Team Showcase < 1.22.16 - Authenticated Stored Cross-Site Scripting (XSS)
WordPress + Microsoft Office 365 < 11.7 - JWT Signature Verification Bypass
WordPress Theme Vulnerabilities
Greenmart < 2.5.2 - Unauthenticated Reflected Cross-Site Scripting (XSS)
Greenmart < 2.4.3 - Reflected Cross-Site Scripting (XSS)
Multiple Themes - Unauthenticated Function Injection
Thank you, The WPScan Team
Upgrade your account via your profile page to receive instant or daily email notifications!
https://wpvulndb.com/users/sign_in
 