WordPress 2015年7月_脆弱性集計  2015/8/6
2015年7月度のWordPressに関する脆弱性レポートをお知らせします。

7月度全体の脆弱性報告件数としては86件でした。6月度より34件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体で1件、テーマも3件、プラグインが82件でした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

また、今月も先月と同様に本体に脆弱性が発生しました。プラグインの数は先月と比べて増加しております。
テーマに関しましても先月と同様に脆弱性情報が複数発生しました。

トピックス
本体に1件脆弱性が発生しました。バージョン4.2.2以下にXSS(クロスサイトスクリプティング)に関する脆弱性が発生しております。

対策版に関しましては各バージョンによって異なり、3.7.9、3.8.9、3.9.7、4.0.6、4.1.6、4.2.3になるのですが、すでにそのバージョンにて別の脆弱性が発生しておりますので最新バージョンである3.7.10、3.8.10、3.9.8、4.0.7、4.1.7、4.2.4(2015年8月6日現在)へのアップデートを推奨します。ブログでも書かせていた頂いておりますので併せてご覧ください。

 

テーマに関しましても3件の脆弱性が発見されております。内容はXSS等です。

 

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、総累計数110万ダウンロード以上、アクティブインストール30万以上されている人気のプラグインである『InfiniteWP Client』に脆弱性が発生しております。

これは複数のサイトを一元管理できるプラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年8月6日時点での最新バージョンは1.3.16となっております)

 

また、こちらもブログでも速報を書かせて頂きました通り、総累計数150万ダウンロード以上、アクティブインストール10万以上のプラグイン『WP Slimstat』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。これはリアルタイムにアクセス解析ができるプラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年8月6日時点での最新バージョンは4.1.6.1となっております)

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

Ninja Forms PluginにてXSS
Slider Revolution PluginにてXSS
Subscribe to Comments PluginにてLFI
WordPress Download Manager PluginにてXSS
Welcart PluginにてXSSとSQLインジェクション 2件

内容別レポート
脆弱性の内容別発生件数は、1位がXSSで37件、2位がLFIで12件、3位がSQLインジェクションで11件でした。

トピックス
6月度と比較して、脆弱性の総数が増加したことに合わせてXSS、LFI、SQLインジェクションとCSRFが軒並み増加しました。
脆弱性一覧
2015年7月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2015年7月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.
発見日

プラグイン
UPLOAD
Powerplay Gallery
3.3
2015/7/1

プラグイン
SQLインジェクション
Powerplay Gallery
3.3
2015/7/1

プラグイン
DOS
Simple Ads Manager
2.9.3.114
2015/7/2

プラグイン
CSRF
Albo Pretorio Online
3.2
2015/7/3

プラグイン
XSS
Albo Pretorio Online
3.2
2015/7/3

プラグイン
LFI
Swim Team
1.44.10777
2015/7/3

プラグイン
UPLOAD
WordPress File Upload
2.7.6
2015/7/3

プラグイン
BYPASS
WordPress File Upload
2.7.6
2015/7/3

プラグイン
CSRF
WordPress File Upload
2.7.6
2015/7/3

プラグイン
XSS
WordPress File Upload
2.7.6
2015/7/3

プラグイン
XSS
Ninja Forms
2.9.18
2015/7/5

プラグイン
SQLインジェクション
Easy2Map
1.24
2015/7/5

プラグイン
LFI
MDC YouTube Downloader
2.1.0
2015/7/5

プラグイン
REDIRECT
StageShow
5.0.8
2015/7/5

プラグイン
SQLインジェクション
Albo Pretorio Online
3.2
2015/7/5

プラグイン
LFI
WP e-Commerce Shop Styling
2.5
2015/7/6

プラグイン
SQLインジェクション
Easy2Map Photos
1.0.9
2015/7/6

プラグイン
RCE
Custom Content Type Manager
0.9.8.5
2015/7/6

テーマ
FPD
Vulcan

2015/7/6

テーマ
XSS
Vulcan

2015/7/6

テーマ
DOS
Vulcan

2015/7/6

プラグイン
XSS
NewStatPress
1.0.4
2015/7/7

プラグイン
SQLインジェクション
NewStatPress
1.0.4
2015/7/7

プラグイン
UNKNOWN
InfiniteWP Client
1.3.14
2015/7/8

プラグイン
XSS
YOP Poll
5.7.3
2015/7/8

プラグイン
LFI
S3Bubble Cloud Video With Adverts & Analytics
0.7
2015/7/8

プラグイン
XSS
GD bbPress Attachments
2.2
2015/7/9

プラグイン
LFI
GD bbPress Attachments
2.2
2015/7/9

プラグイン
UPLOAD
ACF Frontend display
2.0.5
2015/7/9

プラグイン
LFI
S3Bubble Amazon S3 Video And Audio Streaming With Analytics
2.0
2015/7/9

プラグイン
UPLOAD
Fast Image Adder
1.1
2015/7/11

プラグイン
LFI
IBS Mappro
0.6
2015/7/11

プラグイン
UPLOAD
MailCWP
1.99
2015/7/11

プラグイン
CSRF
CP Contact Form with Paypal
1.1.5
2015/7/11

プラグイン
XSS
CP Contact Form with Paypal
1.1.5
2015/7/11

プラグイン
SQLインジェクション
CP Contact Form with Paypal
1.1.5
2015/7/11

プラグイン
SQLインジェクション
CP Multi View Event Calendar
1.1.7
2015/7/12

プラグイン
BYPASS
CP Image Store with Slideshow
1.0.6
2015/7/13

プラグイン
LFI
CP Image Store with Slideshow
1.0.5
2015/7/13

プラグイン
UPLOAD
WP Front-End Repository
1.1
2015/7/14

プラグイン
LFI
Candidate Application Form
1.0
2015/7/14

プラグイン
XSS
Floating Social Bar
1.1.5
2015/7/14

プラグイン
XSS
Plotly
1.0.2
2015/7/14

プラグイン
LFI
Image Export
1.1.0
2015/7/14

プラグイン
XSS
Eventbrite Tickets
3.9.6
2015/7/14

プラグイン
BYPASS
WP Attachment Export
0.2.3
2015/7/15

プラグイン
LFI
Subscribe to Comments
2.1.2
2015/7/15

プラグイン
CSRF
BuddyPress Activity Plus
1.5
2015/7/15

プラグイン
BYPASS
WP Backitup
1.9.1
2015/7/16

プラグイン
XSS
WordPress Download Manager
2.7.94
2015/7/16

プラグイン
BYPASS
WordPress Mobile Pack
2.1.2
2015/7/20

プラグイン
LFI
wptf-image-gallery
1.0.3
2015/7/20

プラグイン
CSRF
Portfolio
1.0
2015/7/21

本体
XSS
WordPress
4.2.2
2015/7/23

プラグイン
SQLインジェクション
Count Per Day
3.4
2015/7/23

プラグイン
XSS
Paid Memberships Pro
1.8.4.2
2015/7/23

プラグイン
XSS
Welcart e-Commerce
1.4.17
2015/7/25

プラグイン
SQLインジェクション
Welcart e-Commerce
1.4.17
2015/7/25

プラグイン
CSRF
Unite Gallery Lite
1.4.6
2015/7/25

プラグイン
SQLインジェクション
Unite Gallery Lite
1.4.6
2015/7/25

プラグイン
REDIRECT
Music Store
1.0.14
2015/7/25

プラグイン
XSS
WP Slimstat
4.1.5.2
2015/7/26

プラグイン
SQLインジェクション
WP Statistics
9.4
2015/7/26

プラグイン
XSS
WP Flash Player
1.3
2015/7/26

プラグイン
XSS
Flickr Justified Gallery
3.3.6
2015/7/28

プラグイン
XSS
Facebook, Twitter & Google+ Social Widgets
1.3.7
2015/7/28

プラグイン
XSS
Advanced Categorizer
0.3
2015/7/28

プラグイン
XSS
qTranslate
2.5.39
2015/7/29

プラグイン
XSS
Hide My WP
4.51.1
2015/7/29

プラグイン
CSRF
Google Plus one Button by KMS
1.5.0
2015/7/29

プラグイン
XSS
Google Plus one Button by KMS
1.5.0
2015/7/29

プラグイン
XSS
Ads In Bottom Right
1.0
2015/7/29

プラグイン
XSS
Author Manager
1.0
2015/7/29

プラグイン
XSS
1-click Retweet/Share/Like
5.2
2015/7/29

プラグイン
XSS
Chief Editor
3.6.1
2015/7/29

プラグイン
XSS
Advertisement Management
1.0
2015/7/30

プラグイン
XSS
Content Grabber
1.0
2015/7/30

プラグイン
XSS
Default Facebook Thumbnails
0.4
2015/7/30

プラグイン
XSS
arcResBookingWidget
1.0
2015/7/30

プラグイン
XSS
Altos Connect Widget
1.3.0
2015/7/30

プラグイン
XSS
The Holiday Calendar
1.11.2
2015/7/30

プラグイン
XSS
Admin Pack by SITE CASEIRO
1.1
2015/7/30

プラグイン
XSS
Customize Youtube Videos
0.2
2015/7/30

プラグイン
XSS
Copy or Move Comments
1.0.0
2015/7/30

プラグイン
XSS
WP Accurate Form Data
1.2
2015/7/31

プラグイン
CSRF
WP Accurate Form Data
1.2
2015/7/31

https://wp.kyubi.jp/