————————————————————————————————————————-
WordPress 2014年9月_脆弱性集計
————————————————————————————————————————-
2014年9月度のWordPressに関する脆弱性レポートをお知らせします。
9月度全体の脆弱性報告件数としては68件でした。8月度より10件減っております。
個所別の発生件数は、それぞれプラグインで63件、テーマで5件でした。今月は本体に脆弱性は発生しませんでした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。
トピックスとして、今月に関しましては、本体に脆弱性は発生いたしませんでした。
プラグインに関しましては、Wordfence Pluginにて2バージョンにて複数の脆弱性情報が発見されました。
また、ご利用中の方が多いかと思います以下のプラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
Wordfence PluginにてXSS、その他 合計6件
TinyMCE Advanced PluginにてCSRF
WP to Twitter PluginにてCSRF
WP Photo Album Plus PluginにてXSS
WP Google Maps PluginにてXSS
AtContent Pluginにて情報開示
脆弱性の内容別発生件数は、1位がXSSで22件、2位がCSRFで12件、3位がSQLインジェクションで7件でした。
トピックスとして8月度と比較して、XSS、CSRF、SQLインジェクションともに増加そしております。その中でもSQLインジェクションが1件から7件へ特に増加しております。
一方、不特定の欠陥がかなり減少しておりますので、脆弱性の合計数は減少しております。
以下リストに掲載されている本体バージョン、プラグイン、テーマがある方は、一度診断されることをお勧めいたします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。http://wp.kyubi.jp
表:2014年9月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたバージョン | 発見日 |
| プラグイン | 言語設定の不正操作 | Contact Form Plugin | 3.82 | 2014/9/1 |
| プラグイン | XSS | Ready! Coming Soon Plugin | 0.5.0 | 2014/9/1 |
| プラグイン | CSRF | Ready! Coming Soon Plugin | 0.5.0 | 2014/9/1 |
| プラグイン | CSRF | Ready! Google Maps Plugin | 1.1.5 | 2014/9/1 |
| プラグイン | XSS | Ready! Ecommerce Plugin | 0.5.0 | 2014/9/1 |
| プラグイン | CSRF | Ready! Ecommerce Plugin | 0.5.0 | 2014/9/1 |
| プラグイン | CSRF | WP RSS Multi Importer Plugin | 3.11 | 2014/9/1 |
| プラグイン | CSRF | Easy Media Gallery Plugin | 1.2.59 | 2014/9/1 |
| プラグイン | SQLインジェクション | Huge-IT Gallery Plugin | 1.0.1 | 2014/9/2 |
| プラグイン | SQLインジェクション | All In One WordPress Security and Firewall Plugin | 3.8.2 | 2014/9/3 |
| プラグイン | RCE | Advanced Access Manager (AAM) Plugin | 2.8.2 | 2014/9/3 |
| プラグイン | 不特定の欠陥 | Publish and Add New Post Plugin | 1.0 | 2014/9/4 |
| プラグイン | 不正操作によるユーザー作成 | Premium Gallery Manager Plugin | 不特定 | 2014/9/5 |
| プラグイン | SQLインジェクション | Spider Facebook Plugin | 1.0.8 | 2014/9/7 |
| プラグイン | SQLインジェクション | Like Dislike Counter Plugin | 1.2.3 | 2014/9/7 |
| プラグイン | CSRF | Xhanch – My Twitter Plugin | 2.7.7 | 2014/9/8 |
| プラグイン | RCE | WordPress Download Manager Plugin | 2.6.92 | 2014/9/8 |
| プラグイン | CSRF | WP to Twitter Plugin | 2.9.3 | 2014/9/8 |
| プラグイン | メールヘッダ・インジェクション | Contact Form Plugin | 3.83 | 2014/9/8 |
| プラグイン | CSRF | Ninja Forms Plugin | 2.7.7 | 2014/9/8 |
| テーマ | パストラバーサル | Antioch Theme | 不特定 | 2014/9/8 |
| テーマ | パストラバーサル | Authentic Theme | 不特定 | 2014/9/8 |
| テーマ | パストラバーサル | Epic Theme | 不特定 | 2014/9/8 |
| テーマ | パストラバーサル | Urban City Theme | 不特定 | 2014/9/8 |
| プラグイン | CSRF | Bulk Delete Users by Email Plugin | 1.0 | 2014/9/8 |
| プラグイン | XSS | Wordfence Plugin | 5.2.2 | 2014/9/8 |
| プラグイン | CSRF | W3 Total Cache Plugin | 0.9.4 | 2014/9/8 |
| プラグイン | CSRF | TinyMCE Advanced Plugin | 4.1 | 2014/9/8 |
| テーマ | パストラバーサル | Trinity Theme | 不特定 | 2014/9/9 |
| プラグイン | XSS | Photo-Gallery Plugin | 1.1.30 | 2014/9/10 |
| プラグイン | 不特定の欠陥 | Book a Place Plugin | 0.5.0 | 2014/9/10 |
| プラグイン | XSS | Rich Counter Plugin | 1.1.5 | 2014/9/10 |
| プラグイン | XSS | WP Photo Album Plus Plugin | 5.4.3、5.4.4 | 2014/9/12 |
| プラグイン | 不特定の欠陥 | BuddyPress Plugin | 2.0.2 | 2014/9/15 |
| プラグイン | IP制限機能の欠陥 | Wordfence Plugin | 5.2.3 | 2014/9/15 |
| プラグイン | リクエスト処理の欠陥 | Wordfence Plugin | 5.2.3 | 2014/9/15 |
| プラグイン | XSS | Wordfence Plugin | 5.2.3 | 2014/9/15 |
| プラグイン | XSS | Wordfence Plugin | 5.2.3 | 2014/9/15 |
| プラグイン | XSS | Webcam 2Way Videochat Plugin | 不特定 | 2014/9/17 |
| プラグイン | CSRF | Login Widget With Shortcode Plugin | 3.1.1 | 2014/9/17 |
| プラグイン | XSS | EWWW Image Optimizer Plugin | 2.0.1 | 2014/9/17 |
| プラグイン | XSS | Google Calendar Events Plugin | 2.0.1 | 2014/9/17 |
| プラグイン | XSS | Login Widget With Shortcode Plugin | 3.1.1 | 2014/9/17 |
| プラグイン | HTTPヘッダの欠陥 | WP-Ban Plugin | 1.62 | 2014/9/17 |
| プラグイン | XSS | WooCommerce Store Exporter Plugin | 2.1.12 | 2014/9/17 |
| プラグイン | 設定のリモート操作 | WordPress Access Areas Plugin | 1.3.0 | 2014/9/18 |
| プラグイン | XSS | Contact Form 7 Integrations Plugin | 1.3.10 | 2014/9/18 |
| プラグイン | XSS | Contact Form 7 Integrations Plugin | 1.3.10 | 2014/9/18 |
| プラグイン | 非認証の設定操作 | Easy MailChimp Forms Plugin | 5.0.6 | 2014/9/19 |
| プラグイン | LFI | ShortCode Plugin | 1.1 | 2014/9/19 |
| プラグイン | XSS | Subscribe2 Plugin | 10.15 | 2014/9/19 |
| プラグイン | コメントの公開設定の欠陥 | WordPress Access Areas Plugin | 1.3.1 | 2014/9/20 |
| プラグイン | 不特定の欠陥 | Wordfence Plugin | 5.2.4 | 2014/9/20 |
| プラグイン | XSS | EWWW Image Optimizer Cloud Plugin | 2.0.1 | 2014/9/20 |
| プラグイン | 不特定の欠陥 | Theme to Browser (T2B) Control Plugin | 0.5 | 2014/9/21 |
| プラグイン | SQLインジェクション | Content Audit Plugin | 1.6.1 | 2014/9/22 |
| プラグイン | 情報開示 | AtContent Plugin | 7.11.2.1 | 2014/9/22 |
| プラグイン | XSS | WP Google Maps Plugin | 6.0.26 | 2014/9/24 |
| プラグイン | XSS | MaxButtons Plugin | 1.26.0 | 2014/9/24 |
| プラグイン | SQLインジェクション | I Recommend This Plugin | 3.7.2 | 2014/9/24 |
| プラグイン | RCE | Infusionsoft Gravity Forms Add-on Plugin | 1.5.7、1.5.10、1.5.3 | 2014/9/25 |
| プラグイン | XSS | Contact Form To DB Plugin | 2.8.15 | 2014/9/25 |
| プラグイン | XSS | Contact Form To DB Plugin | 2.8.15 | 2014/9/25 |
| プラグイン | RCE | WP file upload and manager by N-Media Plugin | 3.3 | 2014/9/25 |
| プラグイン | XSS | Contact Form 7 Integrations Plugin | 1.3.10 | 2014/9/26 |
| プラグイン | 不特定の欠陥 | BestWebSoft Google Analytics Plugin | 1.5 | 2014/9/26 |
| プラグイン | SQLインジェクション | Users Ultra Plugin | 1.3.37 | 2014/9/29 |
| プラグイン | 不特定の欠陥 | WP Timesheets Plugin | 0.4 | 2014/9/30 |