————————————————————————————————————————-
WordPress 2014年11月_脆弱性集計                             2014/12/5
————————————————————————————————————————-

2014年11月度のWordPressに関する脆弱性レポートをお知らせします。

11月度全体の脆弱性報告件数としては45件でした。10月度より8件増えております。

個所別の発生件数は、それぞれ本体で9件、テーマは0件、プラグインで36件でした。今月はテーマに脆弱性は発生しませんでした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

トピックスとして、本体に関する重要な脆弱性が発見されました。

そのため、WordPress4.0.1がセキュリティリリースされております。

(詳しくは記事「【重要】WordPress4.0.1のセキュリティリリース」を参照下さい。)

自動アップデートを行っていない方は、早急に手動アップデートを行うことを推奨します。

 

テーマに関しましては、今回は、脆弱性は発見されませんでした。

 

プラグインに関しましては、先月に引き続きまた、BulletProof Security Pluginにて3件の脆弱性情報が発見されました。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

Link Library PluginにてXSS
WP Photo Album Plus Pluginにて1件
Another WordPress Classifieds PluginにてSQLインジェクション
Paid Memberships Pro Pluginにてパストラバーサル
Google Doc Embedder PluginにてSQLインジェクション

 

 

脆弱性の内容別発生件数は、1位がXSSとSQLインジェクションでそれぞれ14件、3位がRCEで4件でした。

トピックスとして10月度と比較して、SQLインジェクションがかなり発生しました。また、脆弱性の件数も増加しました。

要因としてcformsII Pluginにて大量の脆弱性が発見されたこと、またWordPress本体の脆弱性が複数発見されたことが影響しております。

 

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。

脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。http://wp.kyubi.jp

 

表:2014年11月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたバージョン
発見日

プラグイン
XSS
post highlights Plugin

2014/11/3

プラグイン
SQLインジェクション
cformsII Plugin

2014/11/4

プラグイン
SQLインジェクション
cformsII Plugin

2014/11/4

プラグイン
XSS
Contact Form Clean and Simple Plugin

2014/11/4

プラグイン
SQLインジェクション
cformsII Plugin

2014/11/5

プラグイン
SQLインジェクション
cformsII Plugin

2014/11/5

プラグイン
SQLインジェクション
cformsII Plugin

2014/11/5

プラグイン
SQLインジェクション
cformsII Plugin

2014/11/5

プラグイン
SQLインジェクション
cformsII Plugin

2014/11/5

プラグイン
SQLインジェクション
cformsII Plugin

2014/11/5

プラグイン
サニタイズの不備
WP Photo Album Plus Plugin

2014/11/5

プラグイン
SQLインジェクション
Store Locator Plugin

2014/11/5

プラグイン
CSRF
WordPoints Plugin

2014/11/5

プラグイン
XSS
WordPoints Plugin

2014/11/5

プラグイン
SSRF
BulletProof Security Plugin

2014/11/5

プラグイン
SQLインジェクション
BulletProof Security Plugin

2014/11/5

プラグイン
XSS
BulletProof Security Plugin

2014/11/5

プラグイン
XSS
Passwordless Login Plugin

2014/11/6

プラグイン
XSS
Link Library Plugin

2014/11/7

プラグイン
XSS
Contact Form to Email Plugin

2014/11/8

プラグイン
SQLインジェクション
Another WordPress Classifieds Plugin

2014/11/10

プラグイン
XSS
SupportEzzy Ticket System Plugin

2014/11/12

プラグイン
XSS
Watu Plugin

2014/11/12

プラグイン
ディレクトリトラバーサル
DukaPress Plugin

2014/11/13

プラグイン
パストラバーサル
Paid Memberships Pro Plugin

2014/11/19

プラグイン
SQLインジェクション
SP Project & Document Manager Plugin

2014/11/20

本体
XSS
WordPress
4.0,3.9.2,3.8.4,3.7.4
2014/11/20

本体
XSS
WordPress
4.0,3.9.2,3.8.4,3.7.4
2014/11/20

本体
パスワードに関する不備
WordPress
4.0,3.9.2,3.8.4,3.7.4
2014/11/20

本体
CSRF
WordPress
4.0,3.9.2,3.8.4,3.7.4
2014/11/20

本体
XSS
WordPress
4.0,3.9.2,3.8.4,3.7.4
2014/11/20

プラグイン
RCE
CM Download Manager Plugin

2014/11/20

本体
Dos攻撃
WordPress
4.0,3.9.2,3.8.4,3.7.4
2014/11/20

本体
XSS
WordPress
4.0,3.9.2,3.8.4,3.7.4
2014/11/20

本体
MD5に関する不備
WordPress
4.0,3.9.2,3.8.4,3.7.4
2014/11/20

本体
SSRF
WordPress
4.0,3.9.2,3.8.4,3.7.4
2014/11/20

プラグイン
SQLインジェクション
wpDataTables Plugin

2014/11/22

プラグイン
RCE
wpDataTables Plugin

2014/11/22

プラグイン
SQLインジェクション
Google Doc Embedder Plugin

2014/11/25

プラグイン
XSS
Sexy Squeeze Pages Plugin

2014/11/26

プラグイン
RCE
Slider Revolution Responsive Plugin

2014/11/26

プラグイン
RCE
Showbiz Pro Responsive Teaser Plugin

2014/11/26

プラグイン
パス漏洩
HTML5 MP3 Player with Playlist Free Plugin

2014/11/27

プラグイン
オープンリダイレクト
Ad-Manager Plugin

2014/11/27

プラグイン
パストラバーサル
WP-DB-Backup Plugin

2014/11/27