2015年6月度 WordPress脆弱性レポート
WordPress 2015年6月_脆弱性集計 2015/7/10
2015年6月度のWordPressに関する脆弱性レポートをお知らせします。
6月度全体の脆弱性報告件数としては52件でした。5月度より17件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体で1件、テーマも6件、プラグインが45件でした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。
また、今月も先月と同様に本体に脆弱性が発生しました。プラグインの数は先月と比べて減少しております。
テーマに関しましても先月と同様に脆弱性情報が複数発生しました。
トピックス
本体に1件脆弱性が発生しました。バージョン4.1と4.1.1にファイルアップロードに関する脆弱性が発生し、対策版に関しましては4.1.2になるのですが、すでにそのバージョンにて別の脆弱性が発生しておりますので最新バージョンである4.2.2(2015年7月10日現在)へのアップデートを推奨します。
テーマに関しましても6件の脆弱性が発見されております。脆弱性の内容はXSSやRCEです。脆弱性対策版が出ていないテーマもございますのでご利用の方は是非ご確認下さい。
プラグインに関しましては、ブログでも速報を書かせて頂きました通り、総累計数1900万ダウンロード以上されている超有名なWordPressのSEOプラグインである『WordPress SEO by Yoast』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年7月10日時点での最新バージョンは2.2.1となっております)
他には、こちらもブログでも速報を書かせて頂きました通り、総累計数370万ダウンロード以上されているリンク切れを起こしていないかチェックしてくれる便利なプラグイン『Broken Link Checker』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年7月10日時点での最新バージョンは1.10.9となっております)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
Nextend Facebook Connect PluginにてXSS
XCloner – Backup and Restore PluginにてXSSとCE 2件
WP-CopyProtect PluginにてCSRFとXSS 2件
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで22件、2位がLFIで9件、3位がCSRFで7件でした。
トピックス
5月度と比較して、脆弱性の総数が減少したことに合わせてXSS、SQLインジェクションとCSRFが減少しました。その中でもSQLインジェクションは大きく減少しております。
ただ一方でLFIに関する脆弱性情報は増加しました。
脆弱性一覧
2015年6月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2015年6月度脆弱性一覧
発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.
発見日
プラグイン
UPLOAD
dzs-zoomsounds
2.0
2015/6/1
プラグイン
SQLインジェクション
LeagueManager
3.9.11
2015/6/2
プラグイン
XSS
Simple Share Buttons Adder
6.0.0
2015/6/2
プラグイン
XSS
WordPress Backup to Dropbox
4.0
2015/6/2
プラグイン
XSS
XCloner – Backup and Restore
3.1.2
2015/6/2
プラグイン
RCE
XCloner – Backup and Restore
3.1.2
2015/6/2
プラグイン
LFI
N-Media Website Contact Form with File Upload
1.5
2015/6/3
プラグイン
LFI
zM Ajax Login and Register
1.0.9
2015/6/4
プラグイン
XSS
zM Ajax Login and Register
1.0.9
2015/6/4
プラグイン
SQLインジェクション
Users Ultra
1.5.15
2015/6/7
プラグイン
XSS
Greg’s High Performance SEO
1.6.1
2015/6/8
プラグイン
LFI
SE HTML5 Album Audio Player
1.1.0
2015/6/8
プラグイン
XSS
Page Builder by SiteOrigin
2.0.3
2015/6/8
プラグイン
LFI
Really Simple Guest Post Plugin
1.0.6
2015/6/9
プラグイン
LFI
WP Mobile Edition
2.2.7
2015/6/9
プラグイン
XSS
addthis
4.0.6-5.0.2
2015/6/10
プラグイン
LFI
History Collection
1.1.1
2015/6/10
プラグイン
XXE
WooCommerce
2.0.20-2.3.10
2015/6/10
プラグイン
UPLOAD
N-Media File Uploader
3.7
2015/6/11
プラグイン
BYPASS
Paypal Currencucy Converter Basic For Woocommerce
1.3
2015/6/11
プラグイン
LFI
RobotCPA
2015/6/11
本体
UPLOAD
WordPress
4.1 – 4.1.1
2015/6/11
プラグイン
XSS
WordPress SEO by Yoast
2.1.1
2015/6/12
プラグイン
CSRF
Users to CSV
1.4.5
2015/6/15
プラグイン
BYPASS
Zip Attachments
1.1.4
2015/6/15
テーマ
XSS
Salient Theme
4.9
2015/6/16
プラグイン
XSS
WP-Stats
2.51
2015/6/17
プラグイン
CSRF
WP-Stats
2.51
2015/6/17
プラグイン
XSS
Erident Custom Login and Dashboard
3.4-3.4.1
2015/6/18
プラグイン
XSS
Ultimate Member
1.2.98-1.2.994
2015/6/18
テーマ
XSS
Salem Theme
1.5.5
2015/6/18
プラグイン
CSRF
WP Smiley
1.4.1
2015/6/19
プラグイン
XSS
WP Smiley
1.4.1
2015/6/19
プラグイン
CSRF
Google Analyticator
6.4.9.3
2015/6/21
プラグイン
XSS
Nextend Facebook Connect
1.5.4
2015/6/24
プラグイン
XSS
Nextend Twitter Connect
1.5.1
2015/6/24
プラグイン
LFI
wp-instance-rename
1.0
2015/6/24
プラグイン
CSRF
Erident Custom Login and Dashboard
3.4.1
2015/6/25
プラグイン
XSS
WordPress Landing Pages
1.8.7
2015/6/25
プラグイン
XSS
WP Mobile Detector
3.2
2015/6/25
テーマ
RCE
Simpolio
1.3.2
2015/6/26
テーマ
RCE
Pont
1.5
2015/6/26
テーマ
RCE
Teardrop
1.8.1
2015/6/26
テーマ
RCE
Vernissage
1.2.8
2015/6/26
プラグイン
LFI
download-zip-attachments
1.0
2015/6/28
プラグイン
XSS
WP Rollback
1.2.2
2015/6/28
プラグイン
CSRF
WP Rollback
1.2.2
2015/6/28
プラグイン
XSS
Broken Link Checker
1.10.8
2015/6/29
プラグイン
UPLOAD
N-Media File Uploader
3.7
2015/6/29
プラグイン
XSS
NewStatPress
1.0.3
2015/6/30
プラグイン
XSS
WP-CopyProtect
3.0.0
2015/6/30
プラグイン
CSRF
WP-CopyProtect
3.0.0
2015/6/30
https://wp.kyubi.jp/