————————————————————————————————————————-
WordPress 2014年10月_脆弱性集計                             2014/11/5
————————————————————————————————————————-

2014年10月度のWordPressに関する脆弱性レポートをお知らせします。
10月度全体の脆弱性報告件数としては37件でした。9月度より31件減っております。
個所別の発生件数は、それぞれプラグインで36件、テーマで1件でした。
今月は本体に脆弱性は発生しませんでした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

トピックスとして、本体に脆弱性は発生いたしませんでした。

テーマに関しましては、「Enfold」というテーマに脆弱性が発見されております。
こちら脆弱性はCVSSの値がレベルⅢの10.0が指定されており、まだご確認されていない方は早急な対応をお勧めします。

プラグインに関しましては、WP-DBManager Plugin、WP-API Key Authentication Pluginにて2つ以上の異なる脆弱性情報が発見されました。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

BulletProof Security PluginにてXSS
All In One WordPress Security and Firewall PluginにてXSSが2件
WP-DBManager PluginにてRCEその他2件
Grand Flagallery Pluginにて1件
WP eCommerce Pluginにて1件

 

脆弱性の内容別発生件数は、1位がXSSで16件、2位がCSRF、RCEでそれぞれ3件でした。
(※不特定の欠陥が4件ありましたが、上記からは除外させていただきました)

トピックスとして9月度と比較して、XSS、CSRF、SQLインジェクションともに減少いたしました。9月度自体のXSS、CSRF、SQLインジェクションがいつもの月よりも多かったため、10月の数字自体は、おおむね平均位の値かと思われます。脆弱性の合計数も減少しております。

以下リストに掲載されている本体バージョン、プラグイン、テーマがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。https://wp.kyubi.jp

表:2014年10月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたバージョン
発見日

プラグイン
SQLインジェクション
Content Audit Plugin
1.6.1
2014/10/1

プラグイン
XSS
All In One WordPress Security and Firewall Plugin

2014/10/2

プラグイン
XSS
All In One WordPress Security and Firewall Plugin

2014/10/2

プラグイン
CSRF
Post Thumbnail Editor Plugin
2.4.1
2014/10/3

プラグイン
CSRF
Post Thumbnail Editor Plugin
2.4.1
2014/10/3

プラグイン
XSS
BulletProof Security Plugin

2014/10/3

プラグイン
Fileアクセスに関する脆弱性
OSD MailChimp Forms Plugin
1.2
2014/10/6

プラグイン
不特定の欠陥
BroadedNet Plugin

2014/10/6

プラグイン
XSS
Titan Framework Plugin
1.5
2014/10/7

プラグイン
XSS
Titan Framework Plugin
1.5
2014/10/7

プラグイン
不特定の欠陥
ActiveHelper LiveHelp Live Chat Plugin
3.7.0
2014/10/8

プラグイン
XSS
Easy Contact Form Solution Plugin
1.6
2014/10/10

プラグイン
XSS
Securimage-WP-Fixed Plugin
3.5.1
2014/10/10

プラグイン
XSS
Gallery Bank Plugin
3.0.69
2014/10/11

プラグイン
XSS
Contact Form Integrated With Google Maps Plugin
2.4
2014/10/11

プラグイン
XSS
Gallery Bank Plugin
3.0.69
2014/10/11

テーマ
不特定の欠陥
Enfold Theme

2014/10/13

プラグイン
XSS
Contact Bank Plugin
2.0.69
2014/10/14

プラグイン
パーミッションに関する脆弱性
All-in-One WP Migration Plugin
2.0.2
2014/10/15

プラグイン
sql情報開示の脆弱性
WP-DBManager Plugin
2.7.1
2014/10/16

プラグイン
MySQL権限開示の脆弱性
WP-DBManager Plugin
2.7.1
2014/10/16

プラグイン
RCE
WP-DBManager Plugin
2.7.1
2014/10/16

プラグイン
XSS
X Forms Express Plugin

2014/10/21

プラグイン
XSS
HookPress Plugin
1.12
2014/10/21

プラグイン
SQLインジェクション
CP Multi View Event Calendar Plugin

2014/10/23

プラグイン
RCE
Creative Contact Form Plugin

2014/10/23

プラグイン
XSS
Profile Builder Plugin

2014/10/23

プラグイン
パス開示の脆弱性
Grand Flagallery Plugin
4.24
2014/10/23

プラグイン
XSS
WR Contact Form Plugin

2014/10/25

プラグイン
XSS
WR Contact Form Plugin

2014/10/25

プラグイン
CSRF
WordPoints Plugin

2014/10/27

プラグイン
RCE
Creative Contact Form Plugin

2014/10/27

プラグイン
不特定の欠陥
WPNewsman Lite Plugin
1.7.9
2014/10/28

プラグイン
攻撃者が認証回避できる脆弱性
WP eCommerce Plugin
3.8.14.3
2014/10/29

プラグイン
トークン、署名に関する脆弱性
WP-API Key Authentication Plugin

2014/10/29

プラグイン
MD5生成に関する脆弱性
WP-API Key Authentication Plugin

2014/10/29

プラグイン
トークン、署名に関する脆弱性
OAuth1 Server Plugin

2014/10/29