————————————————————————————————————————-
WordPress 2014年8月_脆弱性集計
————————————————————————————————————————-
2014年8月度のWordPressに関する脆弱性レポートをお知らせします。
8月度全体の脆弱性報告件数としては78件でした。7月度より20件減っております。
個所別の発生件数は、それぞれ本体で4件、プラグインで70件、テーマで4件でした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。
特筆すべきトピックスとして、本体であるWordPress3.9.1に3件、脆弱性が見つかりました。そのため、8月6日に3.9.2にアップデート版がリリースされています。
プラグインに関しましては、ご利用中の方が多いかと思います以下のプラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
————————————————————————————————————————-
All In One SEO PackにてXSS
MailPoet Newsletters PluginにてCSRF
wpSS Spreadsheet PluginにてSQLインジェクション、XSSの2件
WP Super Cache PluginにてXSS
WP Source Control Pluginにてディレクトリトラバーサル
Download Shortcode Pluginにてディレクトリトラバーサル
————————————————————————————————————————-
脆弱性の内容別発生件数は、1位がXSSで14件、2位がCSRFで10件、3位がパストラバーサルで5件でした。(実際は、不特定の欠陥が31件で最も多い結果となったが、ランキングから除外しております。)
トピックスとして7月度に17件も発生したSQLインジェクションが1件に減少しておりました。
この要因は、タイミングもありますが、7月度の場合は特定のプラグインに大量に発生していた為です。
またXSSに関しましても7月度に59件発生していましたが今月は14件程度に減少しております。こちらも上記の件が起因しているかと思われます。
以下リストに掲載されている本体バージョン、プラグイン、テーマがある方は、一度診断されることをお勧めいたします。https://wp.kyubi.jp
表:2014年8月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたバージョン | 発見日 |
| プラグイン | CSRF | azurecurve RSS Suffix Plugin | 1.0.2 | 2014/8/2 |
| プラグイン | CSRF | azurecurve Series Index Plugin | 1.0.1 | 2014/8/2 |
| プラグイン | CSRF | azurecurve Multisite Favicon Plugin | 1.0.0 | 2014/8/2 |
| プラグイン | CSRF | azurecurve Floating Featured Image Plugin | 1.0.1 | 2014/8/2 |
| プラグイン | 入力データのサニタイズ不備 | Improved User Search in Backend Plugin | 1.2.5 | 2014/8/2 |
| プラグイン | RCE | Gmedia Gallery Plugin | 1.2.1 | 2014/8/3 |
| プラグイン | XSS | SI CAPTCHA Anti-Spam Plugin | 2.7.4 | 2014/8/3 |
| プラグイン | 不特定の欠陥 | Custom Contact Forms Plugin | 5.1.0.3 | 2014/8/4 |
| プラグイン | ローカルファイル操作 | Favicon by RealFaviconGenerator Plugin | 1.2.1 | 2014/8/4 |
| プラグイン | XSS | WP Super Cache Plugin | 1.4 | 2014/8/5 |
| プラグイン | CSRF | Easy MailChimp Forms Plugin | 5.0.3 | 2014/8/6 |
| プラグイン | SQLインジェクション | wpSS Spreadsheet Plugin | 0.62 | 2014/8/6 |
| プラグイン | XSS | wpSS Spreadsheet Plugin | 0.62 | 2014/8/6 |
| 本体 | XSS | WordPress3.9.1 | 3.9.2 未満 | 2014/8/6 |
| 本体 | CSRF | WordPress3.9.1 | 3.9.2 未満 | 2014/8/6 |
| 本体 | RCE | WordPress3.9.1 | 3.9.2 未満の 3.9.x | 2014/8/6 |
| プラグイン | 不特定の欠陥 | BestWebSoft Gallery Plugin | 4.2.1 | 2014/8/7 |
| プラグイン | 不特定の欠陥 | Google Sitemap Plugin | 2.9.1 | 2014/8/7 |
| プラグイン | 不特定の欠陥 | Captcha Plugin | 4.0.2 | 2014/8/7 |
| プラグイン | 不特定の欠陥 | Google +1 Plugin | 1.1.6 | 2014/8/7 |
| プラグイン | 不特定の欠陥 | Contact Form To DB Plugin | 1.4.0 | 2014/8/7 |
| プラグイン | 不特定の欠陥 | PDF & Print Plugin | 1.7.4 | 2014/8/7 |
| プラグイン | 不特定の欠陥 | Twitter Plugin | 2.36 | 2014/8/7 |
| プラグイン | 不特定の欠陥 | Contact Form Plugin | 3.81 | 2014/8/7 |
| プラグイン | 不特定の欠陥 | BestWebSoft Google Maps Plugin | 1.2.1 | 2014/8/7 |
| プラグイン | SQLインジェクション | Portfolio Plugin | 2.27 | 2014/8/7 |
| プラグイン | 不特定の欠陥 | Google Captcha (reCAPTCHA) Plugin | 1.05 | 2014/8/7 |
| プラグイン | 不特定の欠陥 | Htaccess Plugin | 1.4 | 2014/8/7 |
| プラグイン | 不特定の欠陥 | Job board Plugin | 1.0.0 | 2014/8/8 |
| プラグイン | 不特定の欠陥 | User Role Plugin | 1.4.1 | 2014/8/8 |
| プラグイン | 不特定の欠陥 | Relevant – Related Posts Plugin | 1.0.7 | 2014/8/8 |
| プラグイン | 不特定の欠陥 | Quotes and Tips Plugin | 1.19 | 2014/8/8 |
| プラグイン | 不特定の欠陥 | Email Queue Plugin | 1.0.0 | 2014/8/8 |
| プラグイン | 不特定の欠陥 | Google AdSense Plugin | 1.29 | 2014/8/8 |
| プラグイン | 不特定の欠陥 | Donate Plugin | 2.0.1 | 2014/8/8 |
| プラグイン | 不特定の欠陥 | Sender Plugin | 0.7 | 2014/8/8 |
| プラグイン | 不特定の欠陥 | Limit Attempts Plugin | 1.0.3 | 2014/8/8 |
| プラグイン | SQLインジェクション | GB Gallery Slideshow Plugin | 1.5 | 2014/8/11 |
| プラグイン | 不特定の欠陥 | Updater Plugin | 1.20 | 2014/8/12 |
| プラグイン | 不特定の欠陥 | Custom Search Plugin | 1.21 | 2014/8/12 |
| プラグイン | 不特定の欠陥 | YOP Poll Plugin | 4.9.1 | 2014/8/12 |
| プラグイン | RCE | CK and SyntaxHighlighter Plugin | 不特定 | 2014/8/12 |
| プラグイン | XSS | All In One SEO Pack Plugin | 2.2.2 | 2014/8/13 |
| プラグイン | 不特定の欠陥 | Post To CSV Plugin | 1.2 | 2014/8/13 |
| プラグイン | 不特定の欠陥 | Facebook Like Button Plugin | 2.33 | 2014/8/13 |
| プラグイン | CSRF | MailPoet Newsletters Plugin | 2.6.10 | 2014/8/14 |
| プラグイン | 不特定の欠陥 | WP Ultimate CSV Importer Plugin | 3.6.1 | 2014/8/14 |
| プラグイン | XSS | WP Photo Album Plus | 5.4.5 | 2014/8/16 |
| プラグイン | CSRF | Disqus Comment System Plugin | 2.77 | 2014/8/16 |
| プラグイン | CSRF | Disqus Comment System Plugin | 2.77 | 2014/8/16 |
| プラグイン | 設定のリモート操作 | Auto Post Scheduler Plugin | 1.1 | 2014/8/19 |
| プラグイン | XSS | Simple Page Ordering Plugin | 2.2.1 | 2014/8/19 |
| プラグイン | ディレクトリトラバーサル | WP Source Control Plugin | 3.1.1未満 | 2014/8/19 |
| プラグイン | RFI | Memphis Documents Library Plugin | 2.6.2 | 2014/8/20 |
| プラグイン | RFI | Memphis Documents Library Plugin | 2.6.2 | 2014/8/20 |
| プラグイン | XSS | Memphis Documents Library Plugin | 2.6.2 | 2014/8/20 |
| プラグイン | RFI | Memphis Documents Library | 2.6.2 | 2014/8/20 |
| プラグイン | XSS | WordPress File Upload Plugin | 2.4.3 | 2014/8/20 |
| プラグイン | XSS | Memphis Documents Library Plugin | 2.6.2 | 2014/8/20 |
| プラグイン | 保護パスワード開示 | WordPress Mobile Pack Plugin | 2.0.1 | 2014/8/20 |
| プラグイン | 不特定の欠陥 | Sunny Plugin | 1.3.0 | 2014/8/21 |
| プラグイン | 不特定の欠陥 | Regular Board Plugin | 2.00.0.6 | 2014/8/21 |
| プラグイン | XSS | Vote It Up Plugin | 1.2.3 | 2014/8/21 |
| プラグイン | XSS | WordPress File Upload Plugin | 2.4.3 | 2014/8/22 |
| プラグイン | 不特定の欠陥 | SendinBlue Subscribe Form And WP SMTP Plugin | 2.0.3 | 2014/8/22 |
| プラグイン | パストラバーサル | Responsive KenBurner Slider jQuery Plugin | 不特定 | 2014/8/24 |
| 本体 | XMLに対するリモートDOS | WordPress本体 | 不特定 | 2014/8/26 |
| プラグイン | XSS | WooCommerce Store Exporter Plugin | 1.7.5 | 2014/8/27 |
| プラグイン | XSS | WooCommerce Store Exporter Plugin | 1.7.5 | 2014/8/27 |
| プラグイン | ディレクトリトラバーサル | Download Shortcode Plugin | 1.1 | 2014/8/27 |
| プラグイン | CSRF | Comment Approved Plugin | 1.1 | 2014/8/28 |
| プラグイン | RCE | Page Layout Builder Plugin | 1.7.1 | 2014/8/28 |
| プラグイン | ファイルアップロード | Gallery Bank Plugin | 3.0.60 | 2014/8/29 |
| プラグイン | RCE | Slideshow Gallery Plugin | 1.4.6 | 2014/8/30 |
| テーマ | パストラバーサル | Acento Cultural Theme | 不特定 | 2014/8/31 |
| テーマ | パストラバーサル | FR0_theme | 不特定 | 2014/8/31 |
| テーマ | パストラバーサル | lote27 Theme | 不特定 | 2014/8/31 |
| テーマ | パストラバーサル | NativeChurch Theme | 不特定 | 2014/8/31 |