WordPress 2015年9月_脆弱性集計  2015/10/8
2015年9月度のWordPressに関する脆弱性レポートをお知らせします。

9月度全体の脆弱性報告件数としては41件でした。8月度より12件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体で3件、テーマは1件、プラグインが37件でした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

また、今月も先月と同様に本体に脆弱性が発生しました。プラグインの数は先月と比べて減少しております。
テーマに関しましても先月と同様に脆弱性情報が発生しました。

トピックス
本体に3件脆弱性が発生しました。バージョン4.3以下にXSS(クロスサイトスクリプティング)に関する脆弱性が2件とパーミッションに関する脆弱性が1件と合計3件の脆弱性が発生しております。

対策版に関しましては各バージョンによって異なり、3.7.11、3.8.11、3.9.9、4.0.8、4.1.8、4.2.5、4.3.1になります。

テーマに関しましても1件の脆弱性が発見されております。内容はXSSです。

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、総累計数62万ダウンロード以上、アクティブインストール1万以上されているプラグインである『eShop』にクロスサイトスクリプティング(XSS)とCSRF(クロスサイトリクエストフォージェリ)の2件の脆弱性が発生しております。

これはネットショップを開設することができるプラグイン。お使いの方は、バージョンの確認をすることを推奨します。

また、こちらもブログでも速報を書かせて頂きました通り、総累計数810万ダウンロード以上、アクティブインストール100万以上の超人気プラグイン『WP Super Cache』にXSS(クロスサイトスクリプティング)とPHP Object Injection(オブジェクト インジェクション)の2件の脆弱性が発生しております。

これはページの表示速度を改善することができるプラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年10月8日時点での最新バージョンは1.4.5となっております)

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

Testimonial Slider PluginにてXSSとCSRF 2件
BJ Lazy Load PluginにてRFI
Custom Sidebars PluginにてXSS
WordPress Landing Pages PluginにてRCE

内容別レポート
脆弱性の内容別発生件数は、1位がXSSで19件、2位がCSRFで10件、3位がRCEで3件でした。

トピックス
8月度と比較して、脆弱性の総数が減少したことに合わせてXSS、LFI、SQLインジェクションとCSRFが軒並み減少しました。
脆弱性一覧
2015年9月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。

脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2015年9月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.
発見日

プラグイン
CSRF
Watu PRO
4.8.8.4
2015/9/1

プラグイン
RFI
BJ Lazy Load
0.7.5
2015/9/2

プラグイン
XSS
WPML
2.9.3-3.2.6
2015/9/2

プラグイン
XSS
WordPress Responsive Thumbnail Slider
1.0
2015/9/2

プラグイン
CSRF
WordPress Responsive Thumbnail Slider
1.0
2015/9/2

プラグイン
UPLOAD
WordPress Responsive Thumbnail Slider
1.0
2015/9/2

プラグイン
CSRF
WordPress Responsive Thumbnail Slider
1.0
2015/9/2

プラグイン
XSS
Testimonial Slider
1.2.1
2015/9/2

プラグイン
CSRF
Testimonial Slider
1.2.1
2015/9/2

プラグイン
XSS
sourceAFRICA
0.1.3
2015/9/2

プラグイン
XSS
WP Symposium
15.8.1
2015/9/7

テーマ
XSS
uDesign Theme
1.8.0-2.7.9
2015/9/8

プラグイン
CSRF
Contact Form Generator
2.0.1
2015/9/8

プラグイン
XSS
eShop
6.3.13
2015/9/9

プラグイン
CSRF
eShop
6.3.13
2015/9/9

プラグイン
RCE
SecureMoz Security Audit
1.0.5
2015/9/9

プラグイン
SQLインジェクション
WP Limit Login Attempts
2.0.0
2015/9/9

プラグイン
XSS
Postmatic
1.4.5
2015/9/13

プラグイン
XSS
Royal Slider
3.2.6
2015/9/13

プラグイン
XSS
Easy Media Gallery
1.3.47
2015/9/13

本体
BYPASS
WordPress
4.3
2015/9/15

本体
XSS
WordPress
4.3
2015/9/15

本体
XSS
WordPress
4.3
2015/9/15

プラグイン
RCE
EZ SQL Reports
4.11.33
2015/9/15

プラグイン
UPLOAD
EZ SQL Reports
4.11.33
2015/9/15

プラグイン
RFI
Csv2WPeC Coupon
1.1
2015/9/16

プラグイン
XSS
ALO EasyMail Newsletter
2.6.00
2015/9/17

プラグイン
CSRF
ALO EasyMail Newsletter
2.6.00
2015/9/17

プラグイン
SQLインジェクション
CP Reservation Calendar
1.1.6
2015/9/18

プラグイン
XSS
WP Shop
3.4.3.18
2015/9/18

プラグイン
CSRF
WP Shop
3.4.3.18
2015/9/18

プラグイン
LFI
MyPixs
0.3
2015/9/18

プラグイン
XSS
xPinner Lite
2.2
2015/9/20

プラグイン
CSRF
xPinner Lite
2.2
2015/9/20

プラグイン
XSS
wordpress vertical image slider plugin

2015/9/21

プラグイン
CSRF
wordpress vertical image slider plugin

2015/9/21

プラグイン
XSS
Custom Sidebars
2.1.0.1
2015/9/23

プラグイン
PHP Object Injection
WP Super Cache
1.4.4
2015/9/26

プラグイン
XSS
WP Super Cache
1.4.4
2015/9/26

プラグイン
XSS
Appointment Booking Calendar
1.1.7
2015/9/29

プラグイン
RCE
WordPress Landing Pages
1.8.8-1.9.0
2015/9/30

https://wp.kyubi.jp/