WordPress 2015年4月_脆弱性集計  2015/5/14
2015年4月度のWordPressに関する脆弱性レポートをお知らせします。

4月度全体の脆弱性報告件数としては153件でした。3月度より70件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体で4件、テーマも4件、プラグインが145件でした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

また、今月は先月と違い、本体に複数の脆弱性が発生しました。プラグインの数も先月と比べてかなり増加しております。テーマに関しましても先月と同様に脆弱性情報が複数発生しました。

トピックス
本体に4件脆弱性が発生しました。時期としては2度あり、1度目の発生時には、XSS含む3件発生し、対策版であるバージョン4.1.2がリリースされました。

ところが、そのあとすぐに、さらに追加で1件の脆弱性情報が報告され、対策版であるバージョン4.2.1がリリースされております。
(※2015年5月14日時点での最新バージョンは4.2.2となっております)

テーマに関しましても4件の脆弱性が発見されております。脆弱性内容はXSS、RCEなどです。

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、100万ダウンロード以上されている超有名なWordPressの高速化プラグイン『WP Super Cache』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年5月14日時点での最新バージョンは1.4.4となっております)

また、4月下旬にWordPressの関数を不適切に利用していることに起因する脆弱性が、一気に多数のプラグインに発見されました。

内容としては

「add_query_arg()」
「remove_query_arg()」

の2つの関数について、公式ドキュメントが十分な説明を指定なかったために発生したとのことです。
(発見されたプラグインなどの詳細情報はこちらをご参照ください)

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

All In One WP Security & Firewall PluginにてSQLインジェクション 4件
Duplicator PluginにてSQLインジェクション 1件
WP Statistics PluginにてXSS 1 件
WP User Avatar PluginにてXSS 1件

内容別レポート
脆弱性の内容別発生件数は、1位がXSSで81件、2位がSQLインジェクションで25件、3位がCSRFで14件でした。

トピックス
3月度と比較して、脆弱性の総数が大幅に増加したことに合わせてXSS、SQLインジェクションとCSRFが軒並み増加しました。特にXSSは約4倍になっております。

この一要因として先ほども書かせていただきました通り、4月下旬に発生したWordPressの関数を不適切に利用していることに起因する脆弱性が、一気に多数のプラグインに発見されたことが影響しております。

発見された脆弱性のほぼすべてがXSSでした。
脆弱性一覧
2015年4月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

 

表:2015年4月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.
発見日

プラグイン
CSRF
Favicon by RealFaviconGenerator Plugin

2015/4/1

プラグイン
SQLインジェクション
Business Intelligence Lite Plugin

2015/4/1

プラグイン
CSRF
WP Easy Slideshow Plugin

2015/4/2

プラグイン
CSRF
WP Easy Slideshow Plugin

2015/4/2

テーマ
RCE
UpThemes Multiple Themes

2015/4/2

プラグイン
SQLインジェクション
Events Manager Plugin

2015/4/2

プラグイン
RCE
Better WP Security Plugin

2015/4/2

プラグイン
SQLインジェクション
Simple Ads Manager Plugin

2015/4/2

プラグイン
RCE
Simple Ads Manager Plugin

2015/4/2

プラグイン
SQLインジェクション
Simple Ads Manager Plugin

2015/4/2

プラグイン
XSS
WP Super Cache Plugin

2015/4/3

プラグイン
リモートファイルアップロード
Work The Flow File Upload Plugin

2015/4/4

プラグイン
XSS
QRCodes Plugin
1.3.3
2015/4/4

テーマ
リモート権限昇格
QAEngine Theme

2015/4/6

プラグイン
リモートファイルアップロード
PHP Event Calendar Plugin

2015/4/6

プラグイン
SQLインジェクション
All In One WP Security & Firewall Plugin

2015/4/6

プラグイン
SQLインジェクション
All In One WP Security & Firewall Plugin

2015/4/6

プラグイン
SQLインジェクション
All In One WP Security & Firewall Plugin

2015/4/6

プラグイン
SQLインジェクション
All In One WP Security & Firewall Plugin

2015/4/6

プラグイン
CSRF
Floating Social Bar Plugin
1.1.6
2015/4/7

プラグイン
SQLインジェクション
WP Fastest Cache Plugin

2015/4/7

プラグイン
不正な設定操作
Floating Social Bar Plugin
1.1.6
2015/4/7

プラグイン
XSS
TheCartPress Plugin

2015/4/8

プラグイン
XSS
TheCartPress Plugin

2015/4/8

プラグイン
XSS
TheCartPress Plugin

2015/4/8

プラグイン
XSS
TheCartPress Plugin

2015/4/8

プラグイン
顧客情報漏洩
TheCartPress Plugin

2015/4/8

プラグイン
パストラバーサル
TheCartPress Plugin

2015/4/8

プラグイン
XSS
TheCartPress Plugin

2015/4/8

プラグイン
SQLインジェクション
Traffic Analyzer Plugin

2015/4/8

プラグイン
未公開の投稿に対する不正アクセス
JSON REST API Plugin
1.2
2015/4/9

プラグイン
SQLインジェクション
Duplicator Plugin

2015/4/9

プラグイン
不特定の欠陥
Zedity Plugin
5.0.2
2015/4/9

プラグイン
CSRF
BuddyPress Plugin

2015/4/10

プラグイン
不特定の入力検証の問題
BuddyPress Plugin

2015/4/10

プラグイン
RCE
Windows Desktop and iPhone Photo Uploader Plugin

2015/4/10

プラグイン
パストラバーサル
Fusion Engage Plugin

2015/4/10

プラグイン
CSRF
Broken Link Checker Plugin

2015/4/11

プラグイン
XSS
Broken Link Checker Plugin

2015/4/11

プラグイン
XSS
Add Link to Facebook Plugin

2015/4/11

プラグイン
Direct Request Remote Bypass
Collapsing Categories List Plugin

2015/4/12

プラグイン
SQLインジェクション
Community Events Plugin
1.3.5
2015/4/12

プラグイン
SQLインジェクション
Community Events Plugin
1.3.5
2015/4/12

プラグイン
SQLインジェクション
Tune Library Plugin

2015/4/12

プラグイン
SQLインジェクション
Community Events Plugin
1.3.5
2015/4/12

プラグイン
パストラバーサル
Mobile Edition Plugin
2.2.7
2015/4/13

プラグイン
RCE
N-Media Website Contact Form with File Upload Plugin

2015/4/13

プラグイン
XSS
My Wish List Plugin
1.4.1
2015/4/13

プラグイン
XSS
Simple Secure Contact Form Plugin
0.2
2015/4/13

プラグイン
XSS
My Wish List Plugin
1.4.1
2015/4/13

プラグイン
SQLインジェクション
Contus Video Gallery Plugin

2015/4/14

プラグイン
CSRF
JW Player Plugin

2015/4/14

プラグイン
CSRF
JW Player Plugin

2015/4/14

プラグイン
パストラバーサル
Crayon Syntax Highlighter Plugin

2015/4/14

プラグイン
XSS
iThemes Security Plugin

2015/4/14

プラグイン
SQLインジェクション
WP Symposium Plugin

2015/4/14

プラグイン
CSRF
MiwoFTP Plugin

2015/4/14

プラグイン
XSS
MiwoFTP Plugin

2015/4/14

プラグイン
リモートでのファイル削除
MiwoFTP Plugin

2015/4/14

プラグイン
パラメータパス漏洩
eShop plugin

2015/4/15

プラグイン
XSS
eShop plugin

2015/4/15

プラグイン
CSRF
Contus Video Gallery Plugin

2015/4/15

プラグイン
XSS
WP Statistics Plugin

2015/4/15

プラグイン
XSS
FooBox Image Lightbox Plugin

2015/4/16

プラグイン
XSS
Citizen Space Plugin

2015/4/16

プラグイン
XSS
Content Slide Plugin

2015/4/16

プラグイン
SQLインジェクション
Ajax Store Locator Plugin

2015/4/16

プラグイン
パストラバーサル
WP-Mon Plugin

2015/4/17

プラグイン
SQLインジェクション
Users Ultra Plugin
1.4.95
2015/4/17

プラグイン
バイパスのチェックの機能不備
Mashshare Plugin
2.3.2
2015/4/17

プラグイン
XSS
Broken Link Checker Plugin

2015/4/20

プラグイン
CSRF
Ultimate Profile Builder Plugin

2015/4/20

プラグイン
XSS
Link Library Plugin

2015/4/20

プラグイン
XSS
Link Library Plugin

2015/4/20

プラグイン
XSS
Link Library Plugin

2015/4/20

プラグイン
XSS
Bilingual Linker Plugin
2.1.1
2015/4/20

プラグイン
XSS
Link Library Plugin

2015/4/20

プラグイン
XSS
WDS Multisite Aggregate Plugin
1.0.0
2015/4/20

プラグイン
XSS
Taxonomy Switcher Plugin
1.0.1
2015/4/20

プラグイン
XSS
Two Factor Authentication Plugin
1.1.9
2015/4/20

プラグイン
XSS
Two Factor Authentication Plugin
1.1.9
2015/4/20

プラグイン
XSS
Two Factor Authentication Plugin
1.1.9
2015/4/20

プラグイン
XSS
Date-based Taxonomy Archives Plugin
0.3
2015/4/20

プラグイン
XSS
View All Post’s Pages Plugin
0.9
2015/4/20

プラグイン
XSS
Aesop Story Engine Plugin
1.6
2015/4/20

プラグイン
CSS上書きの問題
Crayon Syntax Highlighter Plugin

2015/4/20

プラグイン
XSS
Google Analytics by Yoast Plugin

2015/4/20

プラグイン
XSS
Ninja Forms Plugin

2015/4/20

プラグイン
XSS
Multiple iThemes Plugins and Themes

2015/4/20

プラグイン
XSS
Give Plugin

2015/4/20

プラグイン
XSS
P3 Profiler Plugin
1.5.3.8
2015/4/20

プラグイン
XSS
My Calendar Plugin

2015/4/20

プラグイン
XSS
Barry Kooij Multiple Plugins

2015/4/20

プラグイン
XSS
WPTouch Plugin
3.7.5
2015/4/20

プラグイン
XSS
WP-E-Commerce Plugin
3.9.2
2015/4/20

プラグイン
XSS
UpdraftPlus Plugin

2015/4/20

プラグイン
XSS
Easy Digital Downloads Multiple Plugins

2015/4/20

プラグイン
XSS
Gravity Forms Plugin

2015/4/20

プラグイン
XSS
All In one SEO Pack Plugin
2.2.6.1
2015/4/20

プラグイン
XSS
Google Analytics by Yoast Plugin
5.3.3
2015/4/20

プラグイン
XSS
WordPress SEO Plugin

2015/4/20

プラグイン
XSS
Jetpack Plugin

2015/4/20

プラグイン
SQLインジェクション
rtMedia Plugin

2015/4/21

プラグイン
XSS
rtMedia Plugin

2015/4/21

プラグイン
SQLインジェクション
rtMedia […]