WordPress 2018年7月_脆弱性レポート  2018/8/6
2018年7月度のWordPressに関する脆弱性レポートをお知らせします。

7月度全体の脆弱性報告件数としては7件でした。2018年6月度から7件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体が0件、テーマが0件、プラグインが7件でした。

本体に関しまして、今月は脆弱性が発生しませんでした。

テーマに関しましても脆弱性が発生しませんでした。

先月に引き続き最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。

トピックス
前述のとおり本体に関しましては、脆弱性が発生しませんでした。

 

 

前述のとおりテーマに関しましては、脆弱性が発生しませんでした。

 

 

プラグインに関しましては先月から6件減少し、7件の脆弱性が発見されました。そのうち有名プラグインに脆弱性が発見されました。

 

1つ目は、アクティブインストール10万以上、総ダウンロード数110万以上の人気プラグイン『All In One Favicon』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。

このプラグインは、Favicon(ファビコン)を簡単に設置するプラグインです。

脆弱性の発生方法としては、以下のパラメータにスクリプトをいれることにより、XSSが発生します。

backendApple-Text
backendGIF-Text
backendICO-Text
backendPNG-Text
frontendApple-Text
frontendGIF-Text
frontendICO-Text
frontendPNG-Text

XSSが発生するコードのサンプルとしては以下になります。
“><img src=a onerror=alert(1)>
“><img src=a onerror=alert(String.fromCharCode(88,83,83))>
実際に対象のバージョンである4.6をダウンロードして試してみました。

まずは、バージョン4.6のプラグイン『All In One Favicon』を導入。

次に対象のフォームに「”><img src=a onerror=alert(1)>」を入力。

最後に「変更を保存」をクリックすると、確かにXSSが発生しました。

お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン4.7以上への更新によって塞ぐことができます。
(※2018年8月6日現在の最新版もバージョン4.7となっております。)

 

2つ目は、アクティブインストール8万以上、総ダウンロード数91万以上の人気プラグイン『Open Graph for Facebook, Google+ and Twitter Card Tags』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。

このプラグインは、FacebookやGoogle+やTwitterでコンテンツを共有したときに、タイトル、画像、説明などの表示を制御できるプラグインです。

お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン2.2.4.2以上への更新によって塞ぐことができます。
(※2018年8月6日現在の最新版もバージョン2.2.4.2となっております。)

 

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

Multi Step Formにてクロスサイトスクリプティング(XSS)
Snazzy Mapsにてクロスサイトスクリプティング(XSS)
Strong Testimonialsにてクロスサイトスクリプティング(XSS)
Gwolle Guestbookにてクロスサイトスクリプティング(XSS)
Geo Mashupにてクロスサイトスクリプティング(XSS)

内容別レポート
脆弱性の内容別発生件数は、XSSのみの発生で7件となりました。

トピックス
6月度と比較して、脆弱性全体の数が減少しております。

クロスサイトスクリプティング(XSS)の発生件数は、先月と同じく1位となりましたが、その他の脆弱性タイプが今月は発生しておらず、珍しい月となりました。

昔と比べると、WordPressを開発する人のリテラシーレベルが上がってきているのか、脆弱性を発見できるのが減ってきています。

よりWordPressが安全なCMSになってきたのがわかります。
脆弱性一覧
2018年7月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。

脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2018年7月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.

プラグイン
XSS
Multi Step Form
1.2.5

プラグイン
XSS
Snazzy Maps

プラグイン
XSS
Open Graph for Facebook, Google+ and Twitter Card Tags
2.2.4.1

プラグイン
XSS
Strong Testimonials
2.31.4

プラグイン
XSS
Gwolle Guestbook
2.5.3

プラグイン
XSS
Geo Mashup
1.10.3

プラグイン
XSS
All In One Favicon
4.6