Monthly Archives: 2月 2015

「KYUBI」+「WEBサイト高速化サービス」同時申し込みキャンペーン

この度、WP.KYUBIとWEBサイト高速化サービスを同時に申し込んでいただいた方に、
高速化料金、最大20%OFFのキャンペーンを実施中です。

サービスURL
https://www.leon-tec.co.jp/service/speed-kyubi/

キャンペーン概要
期間 2015年2月17日~2015年4月17日
特典 WEBサイト高速化料金、最大20%OFF
対象 キャンペーン期間内にWP.KYUBI(ADMINプラン)と高速化サービスをお申込みいただいたお客様

お気軽にお問い合わせ下さい。
https://www.leon-tec.co.jp/inquiry/

2015年1月度
WordPress脆弱性レポート

————————————————————————————————————————-
WordPress 2015年1月_脆弱性集計                             2015/2/10
————————————————————————————————————————-

2015年1月度のWordPressに関する脆弱性レポートをお知らせします。

1月度全体の脆弱性報告件数としては73件でした。12月度より31件減少しております。

個所別の発生件数は、それぞれ本体で0件、テーマは2件、プラグインが71件でした。今月は本体に脆弱性は発生しませんでした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

トピックスとして、本体に脆弱性は発生いたしませんでした。

 

テーマに関しましては、「RedSteel」と「Bretheon Premium」にそれぞれ脆弱性が発見されております。

 

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、50万ダウンロードのPhoto Gallery プラグインにSQLインジェクションやXSSなど複数の脆弱性情報が発見されました。

お使いの方は、バージョンの確認をすることを推奨します。また短期間に別々の脆弱性が発見されておりますので、先月確認したから大丈夫ではなく、今月もチェックされることをお勧めします。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

Email newsletter Plugin にて XSS
WP SlimStat Plugin にて XSS 2件
SEO Friendly Images Plugin にて XSS
Photo Gallery Plugin にて XSSやSQLインジェクションなど 計10件
WP SlimStat Plugin にて XSS 2件
Blubrry PowerPress Podcasting Plugin にて XSS

 

 

脆弱性の内容別発生件数は、1位がXSSで41件、2位がSQLインジェクションで7件、3位がCSRFで6件でした。

トピックスとして12月度と比較して、脆弱性の総数が減少したことに合わせてXSSとCSRFが減少しました。ただ、SQLインジェクションは若干増加しました。先月にかなりの数あった1つのプラグインにて複数の脆弱性が発生している件数が減少した為です。ただ、SQLインジェクションはPhoto Gallery Pluginにて複数発生した為に、微増となりました。

 

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

https://wp.kyubi.jp

 

表:2015年1月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.
発見日

プラグイン
CSRF
Banner Effect Header Plugin

2015/1/2

プラグイン
XSS
Banner Effect Header Plugin

2015/1/2

プラグイン
XSS
SEO Friendly Images Plugin
3.0.4
2015/1/2

プラグイン
XSS
MockUp Plugin
1.4.0
2015/1/3

プラグイン
XSS
MP3-jPlayer Plugin

2015/1/5

プラグイン
XSS
MP3-jPlayer Plugin

2015/1/5

プラグイン
XSS
Email Newsletter Plugin

2015/1/5

プラグイン
XSS
SumoMe Plugin

2015/1/5

プラグイン
XSS
WP-Email Plugin

2015/1/5

プラグイン
XSS
Email Plugin

2015/1/5

プラグイン
RFD
mb.miniAudioPlayer Plugin

2015/1/6

プラグイン
XSS
WP SlimStat Plugin

2015/1/6

プラグイン
RCE
WordPress Shopping Cart (WP EasyCart) Plugin

2015/1/8

プラグイン
不特定の欠陥
WP Ultimate CSV Importer Plugin

2015/1/8

プラグイン
XSS
Slideoptinprox Plugin

2015/1/9

プラグイン
XSS
Geo Mashup Plugin
1.8.2
2015/1/11

プラグイン
無制限のファイルのアップロード
SP Project & Document Manager Plugin

2015/1/12

プラグイン
SQLインジェクション
Photo Gallery Plugin

2015/1/12

プラグイン
CSRF
Pods Plugin
2.5
2015/1/12

プラグイン
CSRF
Pods Plugin
2.5
2015/1/12

プラグイン
XSS
Pods Plugin
2.5
2015/1/12

プラグイン
CSRF
WP Ultimate CSV Importer Plugin

2015/1/12

プラグイン
XSS
David Wells / Hudson Atwell Multiple Plugins

2015/1/12

プラグイン
CSRF
Pods Plugin
2.5
2015/1/12

プラグイン
XSS
Pods Plugin
2.5
2015/1/12

プラグイン
オープンリダイレクト
All In One WordPress Security and Firewall Plugin
3.8.8
2015/1/13

プラグイン
不特定の欠陥
David Wells / Hudson Atwell Multiple Plugins

2015/1/13

プラグイン
不特定の欠陥
All in One Auto Social Marketing Plugin
12.1
2015/1/13

プラグイン
不特定の欠陥
WP Plugin Info Card Plugin

2015/1/13

プラグイン
XSS
Pixabay Images Plugin
2.3
2015/1/14

プラグイン
RCE
Pixabay Images Plugin
2.3
2015/1/14

プラグイン
パストラバーサル
Pixabay Images Plugin
2.3
2015/1/14

プラグイン
認証バイパス
Pixabay Images Plugin
2.3
2015/1/14

プラグイン
XSS
Spider Video Player Plugin
1.5.4
2015/1/15

プラグイン
Remote Privilege Escalation
Pie Register Plugin
2.0.13
2015/1/17

プラグイン
LFI
CIP4 Folder Download Widget Plugin

2015/1/19

プラグイン
XSS
Easing Slider Plugin

2015/1/21

プラグイン
XSS
WP SlimStat Plugin

2015/1/21

プラグイン
XSS
Daily menu Plugin

2015/1/22

プラグイン
XSS
Daily menu Plugin

2015/1/22

プラグイン
XSS
Thumbr.io Plugin

2015/1/22

プラグイン
SQLインジェクション
Photo Gallery Plugin

2015/1/23

プラグイン
SQLインジェクション
Photo Gallery Plugin

2015/1/23

プラグイン
SQLインジェクション
Photo Gallery Plugin

2015/1/23

プラグイン
SQLインジェクション
Photo Gallery Plugin

2015/1/23

プラグイン
SQLインジェクション
Photo Gallery Plugin

2015/1/23

プラグイン
SQLインジェクション
Photo Gallery Plugin

2015/1/23

プラグイン
不特定の欠陥
WP Force SSL Plugin
1.0
2015/1/23

プラグイン
XSS
LeagueManager Plugin

2015/1/24

プラグイン
XSS
LeagueManager Plugin

2015/1/24

プラグイン
XSS
LeagueManager Plugin

2015/1/24

プラグイン
XSS
LeagueManager Plugin

2015/1/24

プラグイン
XSS
LeagueManager Plugin

2015/1/24

プラグイン
XSS
LeagueManager Plugin

2015/1/24

プラグイン
XSS
LeagueManager Plugin

2015/1/24

プラグイン
XSS
LeagueManager Plugin

2015/1/24

プラグイン
XSS
LeagueManager Plugin

2015/1/24

プラグイン
XSS
LeagueManager Plugin

2015/1/24

プラグイン
XSS
LeagueManager Plugin

2015/1/24

プラグイン
XSS
LeagueManager Plugin

2015/1/24

プラグイン
RCE
Photo Gallery Plugin

2015/1/26

テーマ
パストラバーサル
RedSteel Theme

2015/1/26

プラグイン
不特定の欠陥
Featured Image Caption Plugin
0.3.3
2015/1/27

プラグイン
不正アクセス
Feedweb Plugin

2015/1/27

プラグイン
XSS
Google Doc Embedder Plugin

2015/1/28

プラグイン
XSS
Photo Gallery Plugin

2015/1/28

プラグイン
XSS
Photo Gallery Plugin

2015/1/28

プラグイン
CSRF
Fastly Plugin

2015/1/29

プラグイン
XSS
Banner Effect Header Plugin

2015/1/29

プラグイン
XSS
Blubrry PowerPress Podcasting Plugin
6.0
2015/1/29

プラグイン
XSS
Contact Form To DB Plugin

2015/1/30

テーマ
不特定の不正アクセス
Bretheon Premium Theme

2015/1/30

プラグイン
XSS
EntryWizard Plugin
1.2.12
2015/1/31