WordPress 2016年11月_脆弱性集計  2016/12/13
2016年11月度のWordPressに関する脆弱性レポートをお知らせします。

11月度全体の脆弱性報告件数としては39件でした。10月度から26件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体で0件、テーマは1件、プラグインが38件でした。

内容ですが、本体に関しましては今月は脆弱性が発生しませんでした。テーマに関しましては今月も1件脆弱性が発生しました。

また先月に引き続き最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。

トピックス
前述のとおり本体に関しましては2か月連続で脆弱性が発生しませんでした。

テーマに関しましては前述のとおり1件脆弱性が発生しました。5か月連続の発生です。内容はクロスサイトリクエストフォージェリ(CSRF)です。

プラグインに関しましては、先月から26件増加し38件の脆弱性が発見されました。そのうち有名プラグインに脆弱性が発見されました。

1つ目は、アクティブインストール100万以上、総ダウンロード数696万以上の人気プラグイン『W3 Total Cache』にサーバーサイドリクエストフォージェリ(SSRF)、BYPASSに関する脆弱性など合計3件の脆弱性が発生しております。

このプラグインはWordPressのページの表示速度を改善することができる便利なプラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン0.9.5以上への更新によって塞ぐことができます。
(※2016年12月13日現在の最新版はバージョン0.9.5.1です。アップデートする際は、こちらの最新版へのアップデートをお勧めします。)

2つ目は、アクティブインストール100万以上、総ダウンロード数1,619万以上の人気プラグイン『NextGEN Gallery』にローカルファイルインクルード(LFI)の脆弱性が発生しております。

このプラグインはWordPressのサイトに画像ギャラリーを設置できるプラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン2.1.57以上への更新によって塞ぐことができます。
(※2016年12月13日現在の最新版はバージョン2.1.60です。アップデートする際は、こちらの最新版へのアップデートをお勧めします。)

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

WP eCommerceにてSQLインジェクション
Lightboxにてクロスサイトスクリプティング(XSS)
Instagram Feedにてクロスサイトスクリプティング(XSS)とクロスサイトリクエストフォージェリ(CSRF)の2件
Gallery – Video Galleryにてクロスサイトスクリプティング(XSS)とクロスサイトリクエストフォージェリ(CSRF)の2件
Caldera Formsにてクロスサイトスクリプティング(XSS)
All In One WP Security & Firewallにてクロスサイトスクリプティング(XSS)

内容別レポート
脆弱性の内容別発生件数は、1位がXSSで13件、2位がSQLインジェクションで9件、3位はCSRFで5件でした。

トピックス
10月度と比較して、脆弱性の総数は増加しております。そのため、1位のXSSを筆頭に各脆弱性において軒並み増加しております。

その中でも、特に増加率が高いのがSQLインジェクションでした。ここ3か月で見ても一番多く検出された月でした。

SQLインジェクションはデータベースを改変することが可能な状態を指しており大変危険な脆弱性といえます。

ただし、適切な対応を施せば対処可能ですので、以前まではあまり発生しておりませんしたが、これほど全体の比率(確認されている脆弱性のうちの割合)から見て件数が発生したことは特徴的です。
脆弱性一覧
2016年11月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。

脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2016年11月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.

テーマ
CSRF
PageLines Platform Theme
1.1.4

プラグイン
RCE
YITH WooCommerce Compare
2.0.9

プラグイン
XSS
WP-Email
2.67.2

プラグイン
SQLI
WP-Email
2.67.1

プラグイン
CSRF
Wp-D3
2.4

プラグイン
XSS
WP Google Maps
6.3.14

プラグイン
SQLI
WP eCommerce
3.11.3

プラグイン
CSRF
WP Database Backup
4.3.5

プラグイン
XSS
WP Canvas – Shortcodes
2.05

プラグイン
XSS
WassUp Real Time Analytics
1.9

プラグイン
SSRF
W3 Total Cache
0.9.4

プラグイン
Others
W3 Total Cache
0.9.4.1

プラグイン
BYPASS
W3 Total Cache
0.9.4.1

プラグイン
SQLI
Sirv
1.3.1

プラグイン
LFI
SAM Pro (Free Edition)

プラグイン
SQLI
Relevanssi Premium
1.14.4

プラグイン
Others
Relevanssi Premium
1.14.4

プラグイン
XSS
Quotes Collection

プラグイン
Others
Post Indexer
3.0.6.1

プラグイン
SQLI
Post Indexer
3.0.6.1

プラグイン
Others
Post Grid
2.0.12

プラグイン
SQLI
Olimometer
2.56

プラグイン
LFI
NextGEN Gallery
2.1.56

プラグイン
SQLI
Mini Cart Plugin
1.00.1

プラグイン
XSS
Lightbox
1.6.7

プラグイン
CSRF
Instagram Feed
1.4.6.2

プラグイン
XSS
Instagram Feed
1.4.6.2

プラグイン
CSRF
Insert Html Snippet
1.2

プラグイン
XSS
Huge IT Image Gallery
2.0.5

プラグイン
Others
Google Analytics Counter Tracker
3.4.1

プラグイン
CSRF
GoDaddy Email Marketing
1.1.3

プラグイン
XSS
Gallery – Video Gallery
2.0.3

プラグイン
CSRF
Gallery – Video Gallery
2.0.3

プラグイン
SQLI
FireStorm Shopping Cart eCommerce Plugin
2.07.02

プラグイン
XSS
Check Email
0.5

プラグイン
XSS
Calendar
1.3.7

プラグイン
XSS
Caldera Forms
1.3.5.3

プラグイン
SQLI
Answer My Question
1.3

プラグイン
XSS
All In One WP Security & Firewall
4.1.4-4.1.9