Monthly Archives: 4月 2015

GMOクラウドWEST株式会社主催セミナーにて守井が登壇いたします

弊社代表 守井浩司がGMOクラウドWEST株式会社様主催のセミナーにて講演を行います。

日時
5月13日(水)セミナー 15:30~17:30(受付開始15:00)

場所
グランフロント大阪タワーB23階 GMOYours大阪
〒530-0011
大阪市北区大深町3-1 グランフロント大阪タワーB23階
地図

参加費
無料

講演内容
WordPressで作成したウェブサイトのセキュリティ診断サービス~KYUBIについて~

お申し込み
公式サイトのフォームより

2015年3月度
WordPress脆弱性レポート

————————————————————————————————————————-
WordPress 2015年3月_脆弱性集計                             2015/4/6
————————————————————————————————————————-

2015年3月度のWordPressに関する脆弱性レポートをお知らせします。

3月度全体の脆弱性報告件数としては83件でした。2月度より27件減少しております。

個所別の発生件数は、それぞれ本体で0件、テーマは9件、プラグインが74件でした。今月は本体にて脆弱性は発見されませんでした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

今月も前月と同様にテーマに関する脆弱性情報が複数発生しました。

トピックスです。本体に関しましては、前述のとおり脆弱性情報は発生しませんでした。

 

テーマに関しましては、9件の脆弱性が発見されております。KYUBIでの統計以来最多でした。内容はSQLインジェクション、XSS、RCEなど各テーマごとそれぞれ異なる脆弱性が発生しているようです。

 

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、100万ダウンロード以上されている超有名なWordPressをECサイト化するプラグイン『WooCommerce Plugin』にクロスサイトスクリプティング、およびSQLインジェクションと一般的な2つの脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

Contact Form To DB Plugin にてCSRF 1件
WordPress Backup to Dropbox Plugin にてXSS 1件
The Newsletter Plugin にてオープンリダイレクト 2件
WordPress SEO by Yoast Plugin にてCSRFとSQLインジェクション 2件
Google Analytics by Yoast Plugin にてXSS 2件
WP-Optimize Plugin にて未知の脆弱性 1件
All In One SEO Pack Plugin にて情報管理不備の脆弱性 1件

 

 

脆弱性の内容別発生件数は、1位がXSSで21件、2位がSQLインジェクションで20件、3位がパストラバーサルで6件でした。

トピックスとして2月度と比較して、脆弱性の総数が減少したことに合わせてXSS、SQLインジェクションとCSRFが軒並み減少しました。その一方でパストラバーサルは微増しました。この一要因としてAspose社が提供している複数のプラグインにこの脆弱性が発生したためだと考えられます。また先月まであまり見なかったオープンリダイレクトの脆弱性も当月では発生いたしました。

 

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

 

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

https://wp.kyubi.jp/

表:2015年3月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.
発見日

プラグイン
XSS
Contact Form 7 Get and Show Parameter from URL Plugin
0.9.6
2015/3/2

テーマ
SQLインジェクション
Photocrati Theme

2015/3/2

プラグイン
XSS
WordPress Backup to Dropbox Plugin
4.0
2015/3/2

プラグイン
RCE
Wpshop Plugin

2015/3/2

プラグイン
SQLインジェクション
Calculated Fields Form Plugin

2015/3/3

プラグイン
SQLインジェクション
Booking Calendar Contact Form Plugin

2015/3/3

プラグイン
SQLインジェクション
CP Polls Plugin

2015/3/3

プラグイン
不特定の欠陥
WWM Registration Form Plugin

2015/3/3

プラグイン
SQLインジェクション
Booking Calendar Contact Form Plugin

2015/3/3

プラグイン
XSS
WP Plugin Info Card Plugin
2.3.6
2015/3/4

プラグイン
XSS
WP Plugin Info Card Plugin
2.3.6
2015/3/4

テーマ
Remote Privilege Escalation
Ya’arburnee and Dignitas themes

2015/3/4

プラグイン
CSRF
Contact Form To DB Plugin

2015/3/4

プラグイン
メディア編集を可能にする不備
IgnitionDeck Plugin

2015/3/5

プラグイン
SQLインジェクション
Spider Event Calendar Plugin

2015/3/5

プラグイン
SQLインジェクション
Spider Event Calendar Plugin

2015/3/5

プラグイン
XSS
Spider Event Calendar Plugin

2015/3/5

プラグイン
SQLインジェクション
Spider Event Calendar Plugin

2015/3/5

プラグイン
SQLインジェクション
SP Project & Document Manager Plugin
2.4.2
2015/3/5

プラグイン
SQLインジェクション
Spider Event Calendar Plugin

2015/3/5

プラグイン
拡張ライセンスの認証に関する不備
IgnitionDeck Plugin

2015/3/5

プラグイン
XSS
Max Banner Ads Plugin

2015/3/5

プラグイン
オープンリダイレクト
The Newsletter Plugin

2015/3/5

プラグイン
不特定の欠陥
BBPress Plugin

2015/3/6

プラグイン
認証バイパス
MainWP-Child Plugin
2.0.9
2015/3/6

プラグイン
XSS
FormGet Contact Form Plugin
5.3
2015/3/7

テーマ
SQLインジェクション
Daily Edition Theme

2015/3/7

プラグイン
パストラバーサル
IP Blacklist Cloud Plugin
3.3
2015/3/7

プラグイン
不特定の欠陥
Ajax Search Lite Plugin

2015/3/9

プラグイン
不特定の欠陥
Related Posts Lite Plugin

2015/3/9

プラグイン
不特定の情報管理不備
MiwoFTP Plugin

2015/3/9

テーマ
XSS
Custom Community Theme

2015/3/9

プラグイン
XSS
Google Analytics by Yoast Plugin

2015/3/9

テーマ
Remote Privilege Escalation
Fraction Theme

2015/3/10

テーマ
パスディスクロージャー
Daily Edition Theme

2015/3/10

テーマ
XSS
Daily Edition Theme

2015/3/10

プラグイン
CSRF
Spider Event Calendar Plugin

2015/3/11

プラグイン
CSRF
WordPress SEO by Yoast Plugin
1.7.3.3
2015/3/11

プラグイン
SQLインジェクション
WordPress SEO by Yoast Plugin
1.7.3.3
2015/3/11

プラグイン
SQLインジェクション
WP All Import Plugin

2015/3/12

プラグイン
XSS
WP All Import Plugin

2015/3/12

プラグイン
XSS
WPML Plugin

2015/3/12

プラグイン
リモートコンテンツ削除を制御
WPML Plugin

2015/3/12

プラグイン
SQLインジェクション
WPML Plugin

2015/3/12

プラグイン
CSRF
AB Google Map Travel Plugin
3.4
2015/3/13

プラグイン
XSS
AB Google Map Travel Plugin
3.4
2015/3/13

プラグイン
XSS
WooCommerce Plugin

2015/3/13

プラグイン
SQLインジェクション
WooCommerce Plugin

2015/3/13

プラグイン
不特定の欠陥
Swift Security Lite Plugin

2015/3/15

プラグイン
SQLインジェクション
Pods Plugin
2.5.1.1
2015/3/16

テーマ
RCE
DesignFolio+ Theme

2015/3/16

プラグイン
SQLインジェクション
Gravity Forms Plugin

2015/3/17

プラグイン
SQLインジェクション
Gravity Forms Plugin

2015/3/17

プラグイン
複数の認証されていないAjaxアクション
WPML Plugin

2015/3/17

プラグイン
不特定の欠陥
WP-Optimize Plugin

2015/3/18

プラグイン
XSS
Easy Coming Soon Plugin
1.6.2
2015/3/18

プラグイン
SQLインジェクション
Live Forms Plugin
3.0.1
2015/3/18

プラグイン
XSS
Google Analytics by Yoast Plugin

2015/3/19

プラグイン
XSS
Leads Plugin
1.6.1
2015/3/20

プラグイン
不特定の欠陥
Landing Pages Plugin

2015/3/20

プラグイン
不特定の欠陥
Calls to Action Plugin

2015/3/20

プラグイン
ダイレクトアクセス認証バイパス
Category and Page Icons Plugin
0.9.1
2015/3/20

プラグイン
ダイレクトアクセス認証バイパス
Category and Page Icons Plugin
0.9.1
2015/3/20

プラグイン
CSRF
PlusCaptcha Plugin

2015/3/22

プラグイン
Remote Privilege Escalation
Ajax Search Pro Plugin

2015/3/22

プラグイン
SQLインジェクション
WP-Donate Plugin

2015/3/23

プラグイン
パスディスクロージャー
PageBuilderSandwich Plugin

2015/3/23

プラグイン
パストラバーサル
MP3-jPlayer Plugin

2015/3/23

プラグイン
パスディスクロージャー
Gallery plugin

2015/3/24

プラグイン
RCE
InBoundio Marketing Plugin

2015/3/24

テーマ
XSS
flashy Theme

2015/3/26

プラグイン
パストラバーサル
Aspose Cloud eBook Generator Plugin

2015/3/26

プラグイン
XSS
Auto Affiliate Links Plugin

2015/3/26

プラグイン
パストラバーサル
Aspose PDF Exporter Plugin

2015/3/29

プラグイン
パストラバーサル
Aspose Importer & Exporter Plugin

2015/3/29

プラグイン
XSS
MaxButtons Plugin
1.3.6
2015/3/29

プラグイン
XSS
MaxButtons Plugin
1.3.6
2015/3/29

プラグイン
パストラバーサル
Aspose DOC Exporter Plugin

2015/3/30

プラグイン
オープンリダイレクト
The Newsletter Plugin

2015/3/30

プラグイン
不特定の欠陥
eFront Plugin

2015/3/30

プラグイン
不特定の欠陥
WP Ultimate CSV Importer Plugin
3.6.77
2015/3/30

プラグイン
不特定の欠陥
90min Plugin

2015/3/30

プラグイン
情報管理不備
All In One SEO Pack Plugin

2015/3/31