WordPress専門のセキュリティ診断-オンラインで完結:KYUBI – 2015

————————————————————————————————————————-
WordPress　2014年12月_脆弱性集計　　　　　2015/1/7
————————————————————————————————————————-

2014年12月度のWordPressに関する脆弱性レポートをお知らせします。

12月度全体の脆弱性報告件数としては104件でした。11月度より59件増えております。

個所別の発生件数は、それぞれ本体で0件、テーマは1件、プラグインが103件でした。今月は本体に脆弱性は発生しませんでした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

トピックスとして、本体に脆弱性は発生いたしませんでした。

テーマに関しましては、Echelon Themeにパストラバーサルの脆弱性は発見されております。

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、88万ダウンロードのInfiniteWP Clientプラグインに複数の脆弱性情報が発見されました。
しかも、パスワードに関する脆弱性に関しましては、現時点の最新版にて解消させておらず、利用している方、またこれから利用される方はご理解の上ご使用下さいませ。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

WordPress Download Managerにて2件
Cart66 PluginにてSQLインジェクションなど計4件
WP Limit Posts Automatically PluginにてCSRFとXSSの2件

脆弱性の内容別発生件数は、1位がXSSで55件、2位がCSRFで20件、3位がSQLインジェクションで4件でした。

トピックスとして11月度と比較して、XSSとCSRFがかなり増加しました。また、脆弱性の件数も増加しました。それに対してSQLインジェクションは減少しました。これらの要因としてWP Statistics PluginやWP Symposium Pluginなど１つのプラグインの複数ファイルにて脆弱性が発生したことが考えられます。１つのプラグインにて複数脆弱性が発生している件数が今までの月と比較してもかなり増加しておりました。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

https://wp.kyubi.jp

表：2014年12月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたバージョン
発見日

プラグイン
XSS
Facebook Like Box Plugin
2.8.2
2014/12/1

プラグイン
不特定の欠陥
WordPress Download Manager Plugin

2014/12/1

プラグイン
XSS
CM Download Manager Plugin
2.0.6
2014/12/1