————————————————————————————————————————-
WordPress 2014年9月_脆弱性集計
————————————————————————————————————————-

2014年9月度のWordPressに関する脆弱性レポートをお知らせします。
9月度全体の脆弱性報告件数としては68件でした。8月度より10件減っております。
個所別の発生件数は、それぞれプラグインで63件、テーマで5件でした。今月は本体に脆弱性は発生しませんでした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

トピックスとして、今月に関しましては、本体に脆弱性は発生いたしませんでした。

プラグインに関しましては、Wordfence Pluginにて2バージョンにて複数の脆弱性情報が発見されました。
また、ご利用中の方が多いかと思います以下のプラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
Wordfence PluginにてXSS、その他 合計6件
TinyMCE Advanced PluginにてCSRF
WP to Twitter PluginにてCSRF
WP Photo Album Plus PluginにてXSS
WP Google Maps PluginにてXSS
AtContent Pluginにて情報開示

脆弱性の内容別発生件数は、1位がXSSで22件、2位がCSRFで12件、3位がSQLインジェクションで7件でした。

トピックスとして8月度と比較して、XSS、CSRF、SQLインジェクションともに増加そしております。その中でもSQLインジェクションが1件から7件へ特に増加しております。
一方、不特定の欠陥がかなり減少しておりますので、脆弱性の合計数は減少しております。

以下リストに掲載されている本体バージョン、プラグイン、テーマがある方は、一度診断されることをお勧めいたします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。http://wp.kyubi.jp

表:2014年9月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたバージョン
発見日

プラグイン
言語設定の不正操作
Contact Form Plugin
3.82
2014/9/1

プラグイン
XSS
Ready! Coming Soon Plugin
0.5.0
2014/9/1

プラグイン
CSRF
Ready! Coming Soon Plugin
0.5.0
2014/9/1

プラグイン
CSRF
Ready! Google Maps Plugin
1.1.5
2014/9/1

プラグイン
XSS
Ready! Ecommerce Plugin
0.5.0
2014/9/1

プラグイン
CSRF
Ready! Ecommerce Plugin
0.5.0
2014/9/1

プラグイン
CSRF
WP RSS Multi Importer Plugin
3.11
2014/9/1

プラグイン
CSRF
Easy Media Gallery Plugin
1.2.59
2014/9/1

プラグイン
SQLインジェクション
Huge-IT Gallery Plugin
1.0.1
2014/9/2

プラグイン
SQLインジェクション
All In One WordPress Security and Firewall Plugin
3.8.2
2014/9/3

プラグイン
RCE
Advanced Access Manager (AAM) Plugin
2.8.2
2014/9/3

プラグイン
不特定の欠陥
Publish and Add New Post Plugin
1.0
2014/9/4

プラグイン
不正操作によるユーザー作成
Premium Gallery Manager Plugin
不特定
2014/9/5

プラグイン
SQLインジェクション
Spider Facebook Plugin
1.0.8
2014/9/7

プラグイン
SQLインジェクション
Like Dislike Counter Plugin
1.2.3
2014/9/7

プラグイン
CSRF
Xhanch – My Twitter Plugin
2.7.7
2014/9/8

プラグイン
RCE
WordPress Download Manager Plugin
2.6.92
2014/9/8

プラグイン
CSRF
WP to Twitter Plugin
2.9.3
2014/9/8

プラグイン
メールヘッダ・インジェクション
Contact Form Plugin
3.83
2014/9/8

プラグイン
CSRF
Ninja Forms Plugin
2.7.7
2014/9/8

テーマ
パストラバーサル
Antioch Theme
不特定
2014/9/8

テーマ
パストラバーサル
Authentic Theme
不特定
2014/9/8

テーマ
パストラバーサル
Epic Theme
不特定
2014/9/8

テーマ
パストラバーサル
Urban City Theme
不特定
2014/9/8

プラグイン
CSRF
Bulk Delete Users by Email Plugin
1.0
2014/9/8

プラグイン
XSS
Wordfence Plugin
5.2.2
2014/9/8

プラグイン
CSRF
W3 Total Cache Plugin
0.9.4
2014/9/8

プラグイン
CSRF
TinyMCE Advanced Plugin
4.1
2014/9/8

テーマ
パストラバーサル
Trinity Theme
不特定
2014/9/9

プラグイン
XSS
Photo-Gallery Plugin
1.1.30
2014/9/10

プラグイン
不特定の欠陥
Book a Place Plugin
0.5.0
2014/9/10

プラグイン
XSS
Rich Counter Plugin
1.1.5
2014/9/10

プラグイン
XSS
WP Photo Album Plus Plugin
5.4.3、5.4.4
2014/9/12

プラグイン
不特定の欠陥
BuddyPress Plugin
2.0.2
2014/9/15

プラグイン
IP制限機能の欠陥
Wordfence Plugin
5.2.3
2014/9/15

プラグイン
リクエスト処理の欠陥
Wordfence Plugin
5.2.3
2014/9/15

プラグイン
XSS
Wordfence Plugin
5.2.3
2014/9/15

プラグイン
XSS
Wordfence Plugin
5.2.3
2014/9/15

プラグイン
XSS
Webcam 2Way Videochat Plugin
不特定
2014/9/17

プラグイン
CSRF
Login Widget With Shortcode Plugin
3.1.1
2014/9/17

プラグイン
XSS
EWWW Image Optimizer Plugin
2.0.1
2014/9/17

プラグイン
XSS
Google Calendar Events Plugin
2.0.1
2014/9/17

プラグイン
XSS
Login Widget With Shortcode Plugin
3.1.1
2014/9/17

プラグイン
HTTPヘッダの欠陥
WP-Ban Plugin
1.62
2014/9/17

プラグイン
XSS
WooCommerce Store Exporter Plugin
2.1.12
2014/9/17

プラグイン
設定のリモート操作
WordPress Access Areas Plugin
1.3.0
2014/9/18

プラグイン
XSS
Contact Form 7 Integrations Plugin
1.3.10
2014/9/18

プラグイン
XSS
Contact Form 7 Integrations Plugin
1.3.10
2014/9/18

プラグイン
非認証の設定操作
Easy MailChimp Forms Plugin
5.0.6
2014/9/19

プラグイン
LFI
ShortCode Plugin
1.1
2014/9/19

プラグイン
XSS
Subscribe2 Plugin
10.15
2014/9/19

プラグイン
コメントの公開設定の欠陥
WordPress Access Areas Plugin
1.3.1
2014/9/20

プラグイン
不特定の欠陥
Wordfence Plugin
5.2.4
2014/9/20

プラグイン
XSS
EWWW Image Optimizer Cloud Plugin
2.0.1
2014/9/20

プラグイン
不特定の欠陥
Theme to Browser (T2B) Control Plugin
0.5
2014/9/21

プラグイン
SQLインジェクション
Content Audit Plugin
1.6.1
2014/9/22

プラグイン
情報開示
AtContent Plugin
7.11.2.1
2014/9/22

プラグイン
XSS
WP Google Maps Plugin
6.0.26
2014/9/24

プラグイン
XSS
MaxButtons Plugin
1.26.0
2014/9/24

プラグイン
SQLインジェクション
I Recommend This Plugin
3.7.2
2014/9/24

プラグイン
RCE
Infusionsoft Gravity Forms Add-on Plugin
1.5.7、1.5.10、1.5.3
2014/9/25

プラグイン
XSS
Contact Form To DB Plugin
2.8.15
2014/9/25

プラグイン
XSS
Contact Form To DB Plugin
2.8.15
2014/9/25

プラグイン
RCE
WP file upload and manager by N-Media Plugin
3.3
2014/9/25

プラグイン
XSS
Contact Form 7 Integrations Plugin
1.3.10
2014/9/26

プラグイン
不特定の欠陥
BestWebSoft Google Analytics Plugin
1.5
2014/9/26

プラグイン
SQLインジェクション
Users Ultra Plugin
1.3.37
2014/9/29

プラグイン
不特定の欠陥
WP Timesheets Plugin
0.4
2014/9/30