Monthly Archives: 1月 2015

LIG社に記事を寄稿【Webサイトを高速化したときにやったこと】

弊社代表の守井浩司が、LIG社のブログへ
「WGoogleの提供するPageSpeed Insightsを参考にして、Webサイトを高速化したときにやったこと」
を寄稿しました。

2014年12月度
WordPress脆弱性レポート

————————————————————————————————————————-
WordPress 2014年12月_脆弱性集計                             2015/1/7
————————————————————————————————————————-

2014年12月度のWordPressに関する脆弱性レポートをお知らせします。

12月度全体の脆弱性報告件数としては104件でした。11月度より59件増えております。

個所別の発生件数は、それぞれ本体で0件、テーマは1件、プラグインが103件でした。今月は本体に脆弱性は発生しませんでした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

トピックスとして、本体に脆弱性は発生いたしませんでした。

テーマに関しましては、Echelon Themeにパストラバーサルの脆弱性は発見されております。

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、88万ダウンロードのInfiniteWP Clientプラグインに複数の脆弱性情報が発見されました。
しかも、パスワードに関する脆弱性に関しましては、現時点の最新版にて解消させておらず、利用している方、またこれから利用される方はご理解の上ご使用下さいませ。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

WordPress Download Managerにて2件
Cart66 PluginにてSQLインジェクションなど計4件
WP Limit Posts Automatically PluginにてCSRFとXSSの2件

 

 

脆弱性の内容別発生件数は、1位がXSSで55件、2位がCSRFで20件、3位がSQLインジェクションで4件でした。

トピックスとして11月度と比較して、XSSとCSRFがかなり増加しました。また、脆弱性の件数も増加しました。それに対してSQLインジェクションは減少しました。これらの要因としてWP Statistics PluginやWP Symposium Pluginなど1つのプラグインの複数ファイルにて脆弱性が発生したことが考えられます。1つのプラグインにて複数脆弱性が発生している件数が今までの月と比較してもかなり増加しておりました。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

https://wp.kyubi.jp

 

表:2014年12月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたバージョン
発見日

プラグイン
XSS
Facebook Like Box Plugin
2.8.2
2014/12/1

プラグイン
不特定の欠陥
WordPress Download Manager Plugin

2014/12/1

プラグイン
XSS
CM Download Manager Plugin
2.0.6
2014/12/1

プラグイン
XSS
WP Statistics Plugin

2014/12/2

プラグイン
XSS
WP Statistics Plugin

2014/12/2

プラグイン
入力事前認証コマンド実行
InfiniteWP Client Plugin
1.3.7
2014/12/2

プラグイン
XSS
WP Statistics Plugin

2014/12/2

プラグイン
XSS
WP Statistics Plugin

2014/12/2

プラグイン
XSS
WP Statistics Plugin

2014/12/2

プラグイン
XSS
WP Statistics Plugin

2014/12/2

プラグイン
XSS
WP Statistics Plugin

2014/12/2

プラグイン
SQLインジェクション
Feedweb Plugin
3.0.7
2014/12/3

プラグイン
RCE
WordPress Download Manager Plugin

2014/12/3

プラグイン
SQLインジェクション
Cart66 Plugin

2014/12/3

プラグイン
XSS
Broken Link Checker Plugin

2014/12/4

プラグイン
アクセス制限の不備
WP Backitup Plugin

2014/12/4

プラグイン
アクセス制限の不備
WP Backitup Plugin

2014/12/4

プラグイン
XSS
Broken Link Checker Plugin

2014/12/5

プラグイン
XSS
Yet Another Support Tool (YAST) Plugin

2014/12/5

プラグイン
XSS
Broken Link Checker Plugin

2014/12/5

プラグイン
不特定の欠陥
Awesome Surveys Plugin

2014/12/5

プラグイン
XSS
Better Search Plugin

2014/12/6

プラグイン
パストラバーサル
Ajax Store Locator Plugin
1.2.0
2014/12/6

プラグイン
XSS
Contact Form by ContactUs Plugin
5.0.5
2014/12/8

プラグイン
遠隔操作のチェックの不備
Contact Form by ContactUs Plugin
5.0.5
2014/12/8

プラグイン
パーミッションチェックの不備
WP Database Backup Plugin

2014/12/8

プラグイン
SQLインジェクション
WP Symposium Plugin

2014/12/9

プラグイン
XSS
WP Symposium Plugin

2014/12/9

プラグイン
XSS
WP Symposium Plugin

2014/12/9

プラグイン
XSS
WP Symposium Plugin

2014/12/9

プラグイン
XSS
WP Symposium Plugin

2014/12/9

プラグイン
XSS
Another WordPress Classifieds Plugin

2014/12/9

プラグイン
不特定の欠陥
WP Marketplace Plugin
2.4.0
2014/12/9

プラグイン
RCE
InfiniteWP Client Plugin

2014/12/10

プラグイン
SQLインジェクション
InfiniteWP Client Plugin

2014/12/10

プラグイン
SQLインジェクション
InfiniteWP Client Plugin

2014/12/10

プラグイン
XSS
W3 Total Cache Plugin
0.9.4
2014/12/10

プラグイン
CSRF
W3 Total Cache Plugin
0.9.4
2014/12/10

プラグイン
パスワードハッシュの不適切な取り扱い
InfiniteWP Client Plugin

2014/12/10

プラグイン
RCE
WP Symposium Plugin

2014/12/11

プラグイン
XSS
Timed Popup Plugin

2014/12/12

プラグイン
CSRF
Timed Popup Plugin

2014/12/12

プラグイン
XSS
Our Team Showcase Plugin
1.2
2014/12/12

プラグイン
CSRF
Our Team Showcase Plugin
1.2
2014/12/12

プラグイン
XSS
WP-ViperGB Plugin

2014/12/12

プラグイン
CSRF
WP-ViperGB Plugin

2014/12/12

プラグイン
XSS
Simple Visitor Stat Plugin

2014/12/12

プラグイン
CSRF
Lightbox Photo Gallery Plugin

2014/12/12

プラグイン
CSRF
Sliding Social Icons Plugin

2014/12/12

プラグイン
CSRF
WP-FB-AutoConnect Plugin

2014/12/12

プラグイン
XSS
WP-FB-AutoConnect Plugin

2014/12/12

プラグイン
XSS
Lightbox Photo Gallery Plugin

2014/12/12

プラグイン
XSS
Sliding Recent Posts Plugin

2014/12/12

プラグイン
CSRF
Sliding Recent Posts Plugin

2014/12/12

プラグイン
XSS
Sliding Recent Posts Plugin

2014/12/12

プラグイン
XSS
Construction Mode Plugin
1.8
2014/12/12

プラグイン
XSS
twitterDash Plugin

2014/12/14

プラグイン
XSS
yURL ReTwitt Plugin

2014/12/14

プラグイン
XSS
wpCommentTwit Plugin

2014/12/14

プラグイン
XSS
SPNbabble Plugin

2014/12/14

プラグイン
XSS
Mikiurl Plugin

2014/12/14

プラグイン
XSS
DandyID Services Plugin

2014/12/14

プラグイン
遠隔操作のチェックの不備
WP Fastest Cache Plugin

2014/12/14

プラグイン
XSS
O2Tweet Plugin

2014/12/15

プラグイン
不特定の欠陥
MainWP Child Plugin

2014/12/15

プラグイン
XSS
Relevanssi Plugin

2014/12/16

テーマ
パストラバーサル
Echelon Theme

2014/12/17

プラグイン
XSS
Simple Security Plugin
1.1.5
2014/12/17

プラグイン
CSRF
Bird Feeder Plugin

2014/12/17

プラグイン
XSS
iTwitter Plugin

2014/12/18

プラグイン
CSRF
WP Unique Article Header Image Plugin

2014/12/18

プラグイン
XSS
WP Unique Article Header Image Plugin

2014/12/18

プラグイン
RFD
Sell Downloads Plugin
1.0
2014/12/19

プラグイン
XSS
PictoBrowser Plugin

2014/12/19

プラグイン
XSS
gSlideShow Plugin

2014/12/19

プラグイン
XSS
SimpleFlickr Plugin

2014/12/19

プラグイン
XSS
Simplelife Plugin

2014/12/19

プラグイン
XSS
PWGRandom Plugin

2014/12/19

プラグイン
XSS
Post to Twitter Plugin

2014/12/19

プラグイン
CSRF
TweetScribe Plugin

2014/12/19

プラグイン
CSRF
SimpleFlickr Plugin

2014/12/19

プラグイン
CSRF
Simplelife Plugin

2014/12/19

プラグイン
CSRF
PWGRandom Plugin

2014/12/19

プラグイン
CSRF
Post to Twitter Plugin

2014/12/19

プラグイン
CSRF
PictoBrowser Plugin

2014/12/19

プラグイン
CSRF
gSlideShow Plugin

2014/12/19

プラグイン
XSS
Sell Downloads Plugin
1.0
2014/12/19

プラグイン
XSS
twimp-wp Plugin

2014/12/19

プラグイン
CSRF
Twitter LiveBlog Plugin

2014/12/19

プラグイン
CSRF
WP Limit Posts Automatically Plugin

2014/12/19

プラグイン
XSS
WP Limit Posts Automatically Plugin

2014/12/19

プラグイン
XSS
Twitter LiveBlog Plugin

2014/12/19

プラグイン
CSRF
twimp-wp Plugin

2014/12/19

プラグイン
XSS
TweetScribe Plugin

2014/12/19

プラグイン
SQLインジェクション
Cart66 Plugin

2014/12/22

プラグイン
パストラバーサル
Cart66 Plugin

2014/12/22

プラグイン
設定操作の不備
Cart66 Plugin

2014/12/22

プラグイン
XSS
WP-dTree Plugin
4.3.1
2014/12/22

プラグイン
XSS
WP Shop and WP Shop Yandex Plugin

2014/12/26

プラグイン
XSS
Frontend Uploader Plugin

2014/12/27

プラグイン
不特定の欠陥
BigBlueButton Plugin

2014/12/29

プラグイン
RCE
cformsII plugin

2014/12/29

プラグイン
ファイル操作の不備
DMSGuestbook Plugin

2014/12/30

プラグイン
DOS攻撃
Cimy User Extra Fields Plugin

2014/12/31