————————————————————————————————————————-
WordPress 2014年10月_脆弱性集計 2014/11/5
————————————————————————————————————————-
2014年10月度のWordPressに関する脆弱性レポートをお知らせします。
10月度全体の脆弱性報告件数としては37件でした。9月度より31件減っております。
個所別の発生件数は、それぞれプラグインで36件、テーマで1件でした。
今月は本体に脆弱性は発生しませんでした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。トピックスとして、本体に脆弱性は発生いたしませんでした。
テーマに関しましては、「Enfold」というテーマに脆弱性が発見されております。
こちら脆弱性はCVSSの値がレベルⅢの10.0が指定されており、まだご確認されていない方は早急な対応をお勧めします。
プラグインに関しましては、WP-DBManager Plugin、WP-API Key Authentication Pluginにて2つ以上の異なる脆弱性情報が発見されました。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- BulletProof Security PluginにてXSS
- All In One WordPress Security and Firewall PluginにてXSSが2件
- WP-DBManager PluginにてRCEその他2件
- Grand Flagallery Pluginにて1件
- WP eCommerce Pluginにて1件
脆弱性の内容別発生件数は、1位がXSSで16件、2位がCSRF、RCEでそれぞれ3件でした。
(※不特定の欠陥が4件ありましたが、上記からは除外させていただきました)トピックスとして9月度と比較して、XSS、CSRF、SQLインジェクションともに減少いたしました。9月度自体のXSS、CSRF、SQLインジェクションがいつもの月よりも多かったため、10月の数字自体は、おおむね平均位の値かと思われます。脆弱性の合計数も減少しております。
以下リストに掲載されている本体バージョン、プラグイン、テーマがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。https://wp.kyubi.jp
表:2014年10月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたバージョン | 発見日 |
| プラグイン | SQLインジェクション | Content Audit Plugin | 1.6.1 | 2014/10/1 |
| プラグイン | XSS | All In One WordPress Security and Firewall Plugin | 2014/10/2 | |
| プラグイン | XSS | All In One WordPress Security and Firewall Plugin | 2014/10/2 | |
| プラグイン | CSRF | Post Thumbnail Editor Plugin | 2.4.1 | 2014/10/3 |
| プラグイン | CSRF | Post Thumbnail Editor Plugin | 2.4.1 | 2014/10/3 |
| プラグイン | XSS | BulletProof Security Plugin | 2014/10/3 | |
| プラグイン | Fileアクセスに関する脆弱性 | OSD MailChimp Forms Plugin | 1.2 | 2014/10/6 |
| プラグイン | 不特定の欠陥 | BroadedNet Plugin | 2014/10/6 | |
| プラグイン | XSS | Titan Framework Plugin | 1.5 | 2014/10/7 |
| プラグイン | XSS | Titan Framework Plugin | 1.5 | 2014/10/7 |
| プラグイン | 不特定の欠陥 | ActiveHelper LiveHelp Live Chat Plugin | 3.7.0 | 2014/10/8 |
| プラグイン | XSS | Easy Contact Form Solution Plugin | 1.6 | 2014/10/10 |
| プラグイン | XSS | Securimage-WP-Fixed Plugin | 3.5.1 | 2014/10/10 |
| プラグイン | XSS | Gallery Bank Plugin | 3.0.69 | 2014/10/11 |
| プラグイン | XSS | Contact Form Integrated With Google Maps Plugin | 2.4 | 2014/10/11 |
| プラグイン | XSS | Gallery Bank Plugin | 3.0.69 | 2014/10/11 |
| テーマ | 不特定の欠陥 | Enfold Theme | 2014/10/13 | |
| プラグイン | XSS | Contact Bank Plugin | 2.0.69 | 2014/10/14 |
| プラグイン | パーミッションに関する脆弱性 | All-in-One WP Migration Plugin | 2.0.2 | 2014/10/15 |
| プラグイン | sql情報開示の脆弱性 | WP-DBManager Plugin | 2.7.1 | 2014/10/16 |
| プラグイン | MySQL権限開示の脆弱性 | WP-DBManager Plugin | 2.7.1 | 2014/10/16 |
| プラグイン | RCE | WP-DBManager Plugin | 2.7.1 | 2014/10/16 |
| プラグイン | XSS | X Forms Express Plugin | 2014/10/21 | |
| プラグイン | XSS | HookPress Plugin | 1.12 | 2014/10/21 |
| プラグイン | SQLインジェクション | CP Multi View Event Calendar Plugin | 2014/10/23 | |
| プラグイン | RCE | Creative Contact Form Plugin | 2014/10/23 | |
| プラグイン | XSS | Profile Builder Plugin | 2014/10/23 | |
| プラグイン | パス開示の脆弱性 | Grand Flagallery Plugin | 4.24 | 2014/10/23 |
| プラグイン | XSS | WR Contact Form Plugin | 2014/10/25 | |
| プラグイン | XSS | WR Contact Form Plugin | 2014/10/25 | |
| プラグイン | CSRF | WordPoints Plugin | 2014/10/27 | |
| プラグイン | RCE | Creative Contact Form Plugin | 2014/10/27 | |
| プラグイン | 不特定の欠陥 | WPNewsman Lite Plugin | 1.7.9 | 2014/10/28 |
| プラグイン | 攻撃者が認証回避できる脆弱性 | WP eCommerce Plugin | 3.8.14.3 | 2014/10/29 |
| プラグイン | トークン、署名に関する脆弱性 | WP-API Key Authentication Plugin | 2014/10/29 | |
| プラグイン | MD5生成に関する脆弱性 | WP-API Key Authentication Plugin | 2014/10/29 | |
| プラグイン | トークン、署名に関する脆弱性 | OAuth1 Server Plugin | 2014/10/29 |