WordPress 2015年8月_脆弱性集計  2015/9/10
2015年8月度のWordPressに関する脆弱性レポートをお知らせします。

8月度全体の脆弱性報告件数としては53件でした。7月度より33件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体で5件、テーマは1件、プラグインが47件でした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

また、今月も先月と同様に本体に脆弱性が発生しました。プラグインの数は先月と比べて減少しております。
テーマに関しましても先月と同様に脆弱性情報が発生しました。

トピックス
本体に5件脆弱性が発生しました。バージョン4.2.3以下にXSS(クロスサイトスクリプティング)に関する脆弱性が3件とSQL(エスキューエル)インジェクションが1件、サイドチャネル攻撃に関する脆弱性が1件と合計5件の脆弱性が発生しております。

対策版に関しましては各バージョンによって異なり、3.7.10、3.8.10、3.9.8、4.0.7、4.1.7、4.2.4になります。※2015年9月10日現在最新版であるバージョン4.3がリリースされております。(ブログ:WordPress4.3がリリース。その名は「Billie」)

テーマに関しましても1件の脆弱性が発見されております。内容はXSSです。(ブログ:WordPressのテーマである「Builder」にXSSの脆弱性)

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、総累計数960万ダウンロード以上、アクティブインストール100万以上されている超有名なプラグインである『Google Analytics by Yoast』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。

これはアクセス解析用のプラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年9月10日時点での最新バージョンは5.4.6となっております)

また、こちらもブログでも速報を書かせて頂きました通り、総累計数1330万ダウンロード以上、アクティブインストール100万以上の超人気プラグイン『NextGEN Gallery』にLFI (Local File Inclusion)(ローカル・ファイルインクルード)とPath Traversal(パス・トラバーサル)の2件の脆弱性が発生しております。これは写真や画像を使ったギャラリーを作成し記事に簡単に設置することができるプラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年9月10日時点での最新バージョンは2.1.10となっております)

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

Ninja Forms PluginにてXSS
WP Statistics PluginにてXSS
iframe PluginにてXSS 2件
Google Analyticator PluginにてXSS

内容別レポート
脆弱性の内容別発生件数は、1位がXSSで31件、2位がCSRFで6件、3位がSQLインジェクションで5件でした。

トピックス
7月度と比較して、脆弱性の総数が減少したことに合わせてXSS、LFI、SQLインジェクションとCSRFが軒並み増加しました。
脆弱性一覧
2015年8月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。

脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2015年8月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.
発見日

テーマ
XSS
Builder
1.4.0
2015/8/3

プラグイン
LFI
simple-image-manipulator
1.0
2015/8/3

プラグイン
LFI
recent-backups
0.7
2015/8/3

本体
SQLインジェクション
WordPress
4.2.3
2015/8/4

プラグイン
XSS
Job Manager
0.7.22
2015/8/4

プラグイン
XSS
Ninja Forms
2.9.21
2015/8/4

プラグイン
XSS
Database Sync
0.4
2015/8/4

本体
UNKNOWN
WordPress
4.2.3
2015/8/5

本体
XSS
WordPress
4.2.3
2015/8/5

本体
XSS
WordPress
4.2.3
2015/8/5

本体
XSS
WordPress
2.0.15
2015/8/5

プラグイン
XSS
Copy Or Move Comments
1.0.0
2015/8/5

プラグイン
XSS
WP Accurate Form Data
1.2
2015/8/5

プラグイン
CSRF
WP Accurate Form Data
1.2
2015/8/5

プラグイン
XSS
Altos Connect Widget
1.3.0
2015/8/5

プラグイン
XSS
Admin Pack by SITE CASEIRO
1.1
2015/8/5

プラグイン
XSS
Content Grabber
1.0
2015/8/5

プラグイン
UNKNOWN
MainWP
2.0.22
2015/8/8

プラグイン
UNKNOWN
MainWP Child
2.0.22
2015/8/8

プラグイン
SQLインジェクション
WP Symposium
15.5.1
2015/8/9

プラグイン
SQLインジェクション
WP Symposium
15.1
2015/8/10

プラグイン
XSS
Google Analytics by Yoast
5.4.4
2015/8/10

プラグイン
XSS
The Holiday Calendar
1.11.2
2015/8/10

プラグイン
XSS
WP Statistics
9.5.1
2015/8/10

プラグイン
FPD
MP3-jPlayer
2.3.3
2015/8/10

プラグイン
XSS
Monetize
1.03
2015/8/10

プラグイン
CSRF
Monetize
1.03
2015/8/10

プラグイン
XSS
Bookmarkify
2.9.2
2015/8/10

プラグイン
CSRF
Bookmarkify
2.9.2
2015/8/10

プラグイン
XSS
Avenir-soft Direct Download
1.0
2015/8/10

プラグイン
CSRF
Avenir-soft Direct Download
1.0
2015/8/10

プラグイン
XSS
iframe
3.0
2015/8/11

プラグイン
XSS
iframe
3.0
2015/8/11

プラグイン
XSS
Hide My WP
4.53
2015/8/13

プラグイン
UNKNOWN
WP OAuth Server
3.1.4
2015/8/14

プラグイン
XSS
WP REST API
1.2.2
2015/8/14

プラグイン
SQLインジェクション
DukaPress
2.5.9
2015/8/22

プラグイン
XSS
MDC Private Message
1.0.0
2015/8/22

プラグイン
XSS
Google Analyticator
6.4.9.4
2015/8/24

プラグイン
CSRF
Googmonify
0.5.1
2015/8/24

プラグイン
XSS
Googmonify
0.5.1
2015/8/24

プラグイン
XSS
rocket-responsive-gallery
1.0
2015/8/24

プラグイン
REDIRECT
Google Adsense and Hotel Booking
1.05
2015/8/24

プラグイン
XSS
WP-Polls
2.70
2015/8/25

プラグイン
XSS
Navis DocumentCloud
0.1
2015/8/26

プラグイン
XSS
YouTube Embed
3.3.2
2015/8/26

プラグイン
CSRF
Private Only
3.5.1
2015/8/26

プラグイン
XSS
Private Only
3.5.1
2015/8/26

プラグイン
SQLインジェクション
Car Rental System
3.0
2015/8/26

プラグイン
LFI
NextGEN Gallery
2.1.7
2015/8/28

プラグイン
パストラバーサル
NextGEN Gallery
2.1.7
2015/8/28

プラグイン
XSS
Captain Slider
1.0.6
2015/8/30

プラグイン
AUTHBYPASS
Job Manager
0.7.25
2015/8/31

https://wp.kyubi.jp/