Pocket

————————————————————————————————————————-
WordPress 2014年8月_脆弱性集計
————————————————————————————————————————-

2014年8月度のWordPressに関する脆弱性レポートをお知らせします。
8月度全体の脆弱性報告件数としては78件でした。7月度より20件減っております。
個所別の発生件数は、それぞれ本体で4件、プラグインで70件、テーマで4件でした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

特筆すべきトピックスとして、本体であるWordPress3.9.1に3件、脆弱性が見つかりました。そのため、8月6日に3.9.2にアップデート版がリリースされています。

プラグインに関しましては、ご利用中の方が多いかと思います以下のプラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
————————————————————————————————————————-
All In One SEO PackにてXSS
MailPoet Newsletters PluginにてCSRF
wpSS Spreadsheet PluginにてSQLインジェクション、XSSの2件
WP Super Cache PluginにてXSS
WP Source Control Pluginにてディレクトリトラバーサル
Download Shortcode Pluginにてディレクトリトラバーサル
————————————————————————————————————————-

脆弱性の内容別発生件数は、1位がXSSで14件、2位がCSRFで10件、3位がパストラバーサルで5件でした。(実際は、不特定の欠陥が31件で最も多い結果となったが、ランキングから除外しております。)

トピックスとして7月度に17件も発生したSQLインジェクションが1件に減少しておりました。
この要因は、タイミングもありますが、7月度の場合は特定のプラグインに大量に発生していた為です。
またXSSに関しましても7月度に59件発生していましたが今月は14件程度に減少しております。こちらも上記の件が起因しているかと思われます。

以下リストに掲載されている本体バージョン、プラグイン、テーマがある方は、一度診断されることをお勧めいたします。https://wp.kyubi.jp

表:2014年8月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたバージョン 発見日
プラグイン CSRF azurecurve RSS Suffix Plugin 1.0.2 2014/8/2
プラグイン CSRF azurecurve Series Index Plugin 1.0.1 2014/8/2
プラグイン CSRF azurecurve Multisite Favicon Plugin 1.0.0 2014/8/2
プラグイン CSRF azurecurve Floating Featured Image Plugin 1.0.1 2014/8/2
プラグイン 入力データのサニタイズ不備 Improved User Search in Backend Plugin 1.2.5 2014/8/2
プラグイン RCE Gmedia Gallery Plugin 1.2.1 2014/8/3
プラグイン XSS SI CAPTCHA Anti-Spam Plugin 2.7.4 2014/8/3
プラグイン 不特定の欠陥 Custom Contact Forms Plugin 5.1.0.3 2014/8/4
プラグイン ローカルファイル操作 Favicon by RealFaviconGenerator Plugin 1.2.1 2014/8/4
プラグイン XSS WP Super Cache Plugin 1.4 2014/8/5
プラグイン CSRF Easy MailChimp Forms Plugin 5.0.3 2014/8/6
プラグイン SQLインジェクション wpSS Spreadsheet Plugin 0.62 2014/8/6
プラグイン XSS wpSS Spreadsheet Plugin 0.62 2014/8/6
本体 XSS WordPress3.9.1 3.9.2 未満 2014/8/6
本体 CSRF WordPress3.9.1 3.9.2 未満 2014/8/6
本体 RCE WordPress3.9.1 3.9.2 未満の 3.9.x 2014/8/6
プラグイン 不特定の欠陥 BestWebSoft Gallery Plugin 4.2.1 2014/8/7
プラグイン 不特定の欠陥 Google Sitemap Plugin 2.9.1 2014/8/7
プラグイン 不特定の欠陥 Captcha Plugin 4.0.2 2014/8/7
プラグイン 不特定の欠陥 Google +1 Plugin 1.1.6 2014/8/7
プラグイン 不特定の欠陥 Contact Form To DB Plugin 1.4.0 2014/8/7
プラグイン 不特定の欠陥 PDF & Print Plugin 1.7.4 2014/8/7
プラグイン 不特定の欠陥 Twitter Plugin 2.36 2014/8/7
プラグイン 不特定の欠陥 Contact Form Plugin 3.81 2014/8/7
プラグイン 不特定の欠陥 BestWebSoft Google Maps Plugin 1.2.1 2014/8/7
プラグイン SQLインジェクション Portfolio Plugin 2.27 2014/8/7
プラグイン 不特定の欠陥 Google Captcha (reCAPTCHA) Plugin 1.05 2014/8/7
プラグイン 不特定の欠陥 Htaccess Plugin 1.4 2014/8/7
プラグイン 不特定の欠陥 Job board Plugin 1.0.0 2014/8/8
プラグイン 不特定の欠陥 User Role Plugin 1.4.1 2014/8/8
プラグイン 不特定の欠陥 Relevant – Related Posts Plugin 1.0.7 2014/8/8
プラグイン 不特定の欠陥 Quotes and Tips Plugin 1.19 2014/8/8
プラグイン 不特定の欠陥 Email Queue Plugin 1.0.0 2014/8/8
プラグイン 不特定の欠陥 Google AdSense Plugin 1.29 2014/8/8
プラグイン 不特定の欠陥 Donate Plugin 2.0.1 2014/8/8
プラグイン 不特定の欠陥 Sender Plugin 0.7 2014/8/8
プラグイン 不特定の欠陥 Limit Attempts Plugin 1.0.3 2014/8/8
プラグイン SQLインジェクション GB Gallery Slideshow Plugin 1.5 2014/8/11
プラグイン 不特定の欠陥 Updater Plugin 1.20 2014/8/12
プラグイン 不特定の欠陥 Custom Search Plugin 1.21 2014/8/12
プラグイン 不特定の欠陥 YOP Poll Plugin 4.9.1 2014/8/12
プラグイン RCE CK and SyntaxHighlighter Plugin 不特定 2014/8/12
プラグイン XSS All In One SEO Pack Plugin 2.2.2 2014/8/13
プラグイン 不特定の欠陥 Post To CSV Plugin 1.2 2014/8/13
プラグイン 不特定の欠陥 Facebook Like Button Plugin 2.33 2014/8/13
プラグイン CSRF MailPoet Newsletters Plugin 2.6.10 2014/8/14
プラグイン 不特定の欠陥 WP Ultimate CSV Importer Plugin 3.6.1 2014/8/14
プラグイン XSS WP Photo Album Plus 5.4.5 2014/8/16
プラグイン CSRF Disqus Comment System Plugin 2.77 2014/8/16
プラグイン CSRF Disqus Comment System Plugin 2.77 2014/8/16
プラグイン 設定のリモート操作 Auto Post Scheduler Plugin 1.1 2014/8/19
プラグイン XSS Simple Page Ordering Plugin 2.2.1 2014/8/19
プラグイン ディレクトリトラバーサル WP Source Control Plugin 3.1.1未満 2014/8/19
プラグイン RFI Memphis Documents Library Plugin 2.6.2 2014/8/20
プラグイン RFI Memphis Documents Library Plugin 2.6.2 2014/8/20
プラグイン XSS Memphis Documents Library Plugin 2.6.2 2014/8/20
プラグイン RFI Memphis Documents Library 2.6.2 2014/8/20
プラグイン XSS WordPress File Upload Plugin 2.4.3 2014/8/20
プラグイン XSS Memphis Documents Library Plugin 2.6.2 2014/8/20
プラグイン 保護パスワード開示 WordPress Mobile Pack Plugin 2.0.1 2014/8/20
プラグイン 不特定の欠陥 Sunny Plugin 1.3.0 2014/8/21
プラグイン 不特定の欠陥 Regular Board Plugin 2.00.0.6 2014/8/21
プラグイン XSS Vote It Up Plugin 1.2.3 2014/8/21
プラグイン XSS WordPress File Upload Plugin 2.4.3 2014/8/22
プラグイン 不特定の欠陥 SendinBlue Subscribe Form And WP SMTP Plugin 2.0.3 2014/8/22
プラグイン パストラバーサル Responsive KenBurner Slider jQuery Plugin 不特定 2014/8/24
本体 XMLに対するリモートDOS WordPress本体 不特定 2014/8/26
プラグイン XSS WooCommerce Store Exporter Plugin 1.7.5 2014/8/27
プラグイン XSS WooCommerce Store Exporter Plugin 1.7.5 2014/8/27
プラグイン ディレクトリトラバーサル Download Shortcode Plugin 1.1 2014/8/27
プラグイン CSRF Comment Approved Plugin 1.1 2014/8/28
プラグイン RCE Page Layout Builder Plugin 1.7.1 2014/8/28
プラグイン ファイルアップロード Gallery Bank Plugin 3.0.60 2014/8/29
プラグイン RCE Slideshow Gallery Plugin 1.4.6 2014/8/30
テーマ パストラバーサル Acento Cultural Theme 不特定 2014/8/31
テーマ パストラバーサル FR0_theme 不特定 2014/8/31
テーマ パストラバーサル lote27 Theme 不特定 2014/8/31
テーマ パストラバーサル NativeChurch Theme 不特定 2014/8/31