Pocket

————————————————————————————————————————-
WordPress 2014年10月_脆弱性集計                             2014/11/5
————————————————————————————————————————-

2014年10月度のWordPressに関する脆弱性レポートをお知らせします。
10月度全体の脆弱性報告件数としては37件でした。9月度より31件減っております。
個所別の発生件数は、それぞれプラグインで36件、テーマで1件でした。
今月は本体に脆弱性は発生しませんでした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。


トピックスとして、本体に脆弱性は発生いたしませんでした。

テーマに関しましては、「Enfold」というテーマに脆弱性が発見されております。
こちら脆弱性はCVSSの値がレベルⅢの10.0が指定されており、まだご確認されていない方は早急な対応をお勧めします。

プラグインに関しましては、WP-DBManager Plugin、WP-API Key Authentication Pluginにて2つ以上の異なる脆弱性情報が発見されました。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

  • BulletProof Security PluginにてXSS
  • All In One WordPress Security and Firewall PluginにてXSSが2件
  • WP-DBManager PluginにてRCEその他2件
  • Grand Flagallery Pluginにて1件
  • WP eCommerce Pluginにて1件

 

脆弱性の内容別発生件数は、1位がXSSで16件、2位がCSRF、RCEでそれぞれ3件でした。
(※不特定の欠陥が4件ありましたが、上記からは除外させていただきました)


トピックスとして9月度と比較して、XSS、CSRF、SQLインジェクションともに減少いたしました。9月度自体のXSS、CSRF、SQLインジェクションがいつもの月よりも多かったため、10月の数字自体は、おおむね平均位の値かと思われます。脆弱性の合計数も減少しております。

以下リストに掲載されている本体バージョン、プラグイン、テーマがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。https://wp.kyubi.jp

表:2014年10月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたバージョン 発見日
プラグイン SQLインジェクション Content Audit Plugin 1.6.1 2014/10/1
プラグイン XSS All In One WordPress Security and Firewall Plugin 2014/10/2
プラグイン XSS All In One WordPress Security and Firewall Plugin 2014/10/2
プラグイン CSRF Post Thumbnail Editor Plugin 2.4.1 2014/10/3
プラグイン CSRF Post Thumbnail Editor Plugin 2.4.1 2014/10/3
プラグイン XSS BulletProof Security Plugin 2014/10/3
プラグイン Fileアクセスに関する脆弱性 OSD MailChimp Forms Plugin 1.2 2014/10/6
プラグイン 不特定の欠陥 BroadedNet Plugin 2014/10/6
プラグイン XSS Titan Framework Plugin 1.5 2014/10/7
プラグイン XSS Titan Framework Plugin 1.5 2014/10/7
プラグイン 不特定の欠陥 ActiveHelper LiveHelp Live Chat Plugin 3.7.0 2014/10/8
プラグイン XSS Easy Contact Form Solution Plugin 1.6 2014/10/10
プラグイン XSS Securimage-WP-Fixed Plugin 3.5.1 2014/10/10
プラグイン XSS Gallery Bank Plugin 3.0.69 2014/10/11
プラグイン XSS Contact Form Integrated With Google Maps Plugin 2.4 2014/10/11
プラグイン XSS Gallery Bank Plugin 3.0.69 2014/10/11
テーマ 不特定の欠陥 Enfold Theme 2014/10/13
プラグイン XSS Contact Bank Plugin 2.0.69 2014/10/14
プラグイン パーミッションに関する脆弱性 All-in-One WP Migration Plugin 2.0.2 2014/10/15
プラグイン sql情報開示の脆弱性 WP-DBManager Plugin 2.7.1 2014/10/16
プラグイン MySQL権限開示の脆弱性 WP-DBManager Plugin 2.7.1 2014/10/16
プラグイン RCE WP-DBManager Plugin 2.7.1 2014/10/16
プラグイン XSS X Forms Express Plugin 2014/10/21
プラグイン XSS HookPress Plugin 1.12 2014/10/21
プラグイン SQLインジェクション CP Multi View Event Calendar Plugin 2014/10/23
プラグイン RCE Creative Contact Form Plugin 2014/10/23
プラグイン XSS Profile Builder Plugin 2014/10/23
プラグイン パス開示の脆弱性 Grand Flagallery Plugin 4.24 2014/10/23
プラグイン XSS WR Contact Form Plugin 2014/10/25
プラグイン XSS WR Contact Form Plugin 2014/10/25
プラグイン CSRF WordPoints Plugin 2014/10/27
プラグイン RCE Creative Contact Form Plugin 2014/10/27
プラグイン 不特定の欠陥 WPNewsman Lite Plugin 1.7.9 2014/10/28
プラグイン 攻撃者が認証回避できる脆弱性 WP eCommerce Plugin 3.8.14.3 2014/10/29
プラグイン トークン、署名に関する脆弱性 WP-API Key Authentication Plugin 2014/10/29
プラグイン MD5生成に関する脆弱性 WP-API Key Authentication Plugin 2014/10/29
プラグイン トークン、署名に関する脆弱性 OAuth1 Server Plugin 2014/10/29