2016年5月度 WordPress脆弱性レポート
WordPress 2016年5月_脆弱性集計 2016/6/9
2016年5月度のWordPressに関する脆弱性レポートをお知らせします。
5月度全体の脆弱性報告件数としては31件でした。4月度から18件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体で2件、テーマは0件、プラグインが29件でした。
内容ですが、本体に関しまして今月は2件の脆弱性が出ております。また先月に引き続き最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。
テーマに関しましては今月は脆弱性が発生しませんでした。
トピックス
前述のとおり本体に2件の脆弱性が発生しております。内容としましては、ブログにて速報しております通り、バージョン4.5.1以下にクロスサイトスクリプティング(XSS)と同一生成元メソッド実行の脆弱性と合計2件の脆弱性が発生しております。
対策版に関しましてはバージョン4.5.2が既に提供されております。
(※2016年6月9日現在の最新版です。)
テーマに関しましては前述のとおり今月は脆弱性が発生しませんでした。これは4カ月ぶりのことになります。
プラグインに関しましては、29件の脆弱性が発見されました。そのうち有名プラグインに脆弱性が発見されました。
1つ目は、ブログでも速報を書かせて頂きました通り、アクティブインストール100万以上、総ダウンロード数2840万以上の人気プラグイン『Yoast SEO』に機密情報の漏えいに関する脆弱性1件が発生しております。
このプラグインはWordPressのSEO対策プラグインです。お使いの方は、バージョンの確認をすることを推奨します。
以前は「WordPress SEO by Yoast」という名前でした。変更しておりますのでご注意ください。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2016年6月9日時点での最新バージョンは3.2.5となっております)
2つ目は、ブログでも速報を書かせて頂きました通り、アクティブインストール100万以上、総ダウンロード数2543万以上の人気プラグイン『Jetpack by WordPress.com』にXSS(クロスサイトスクリプティング)の脆弱性1件が発生しております。
このプラグインは1つのプラグインで、いくつもの機能が利用できる高機能なプラグインです。本プラグインに関します脆弱性は2カ月連続で発生しております。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2016年6月9日時点での最新バージョンは4.0.3となっております)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
Ninja Formsにてクロスサイトスクリプティング(XSS)、Arbitrary File Uploading、PHP Object Injectionなど複数
BulletProof Securityにてクロスサイトスクリプティング(XSS)
WP Fastest CacheにてLFI(ローカル・ファイルインクルード)、無許可のオプション更新など2件
bbPressにてクロスサイトスクリプティング(XSS)
Advanced Custom Fieldsにてクロスサイトスクリプティング(XSS)
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで17件、2位がCSRFで3件、3位がLFI等で2件でした。
トピックス
4月度と比較して、脆弱性の総数が減少しております。その要因はXSSの減少です。他の脆弱性の減少はそれほど見られなかったことから、XSSの減少数がそのまま総数の減少数に影響しております。
脆弱性一覧
2016年5月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2016年5月度脆弱性一覧
発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.
プラグイン
XSS
Advanced Custom Fields
4.4.7
プラグイン
XSS
bbPress
2.5.8
プラグイン
XSS
BulletProof Security
.53.3
プラグイン
XSS
enhanced-tooltipglossary
3.3.4
プラグイン
SQLi
Event Registration
6.02.02
プラグイン
XSS
Event Registration
6.02.02
プラグイン
CSRF
Fluid Responsive Slideshow
2.2.6
プラグイン
XSS
Fluid Responsive Slideshow
2.2.6
プラグイン
XSS
Gallery – Video Gallery
1.7.01
プラグイン
BYPASS
Ghost Plugin
0.5.5
プラグイン
XSS
Jetpack
2.0-4.0.2
プラグイン
CSRF
Kento Post View Counter
2.8
プラグイン
XSS
Kento Post View Counter
2.8
プラグイン
XSS
MainWP
3.1.2
プラグイン
LFI
nelio-ab-testing
4.4.4
プラグイン
XSS
Ninja Forms
2.9.36-2.9.42
プラグイン
UPLOAD
Ninja Forms
2.9.36-2.9.42
プラグイン
RCE
Ninja Forms
2.9.36-2.9.42
プラグイン
XSS
Polldaddy Polls & Ratings
2.0.31
プラグイン
XSS
pondol-carousel
1.0
プラグイン
AUTHBYPASS
safe-editor
1.1
プラグイン
AUTHBYPASS
Stream
3.0.5
プラグイン
CSRF
Tag Miner
1.1.2
プラグイン
XSS
tera-charts
1.0
プラグイン
UPLOAD
Tevolution
2.2.7
本体
XSS
WordPress
4.2-4.5.1
本体
XSS
WordPress
4.5.1
プラグイン
LFI
WP Fastest Cache
0.8.5.7
プラグイン
OTHERS
WP Fastest Cache
0.8.5.7
プラグイン
XSS
wpDiscuz
3.1.4
プラグイン
BYPASS
Yoast SEO
3.2.4