Pocket

————————————————————————————————————————-
WordPress 2014年11月_脆弱性集計                             2014/12/5
————————————————————————————————————————-

2014年11月度のWordPressに関する脆弱性レポートをお知らせします。

11月度全体の脆弱性報告件数としては45件でした。10月度より8件増えております。

個所別の発生件数は、それぞれ本体で9件、テーマは0件、プラグインで36件でした。今月はテーマに脆弱性は発生しませんでした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

トピックスとして、本体に関する重要な脆弱性が発見されました。

そのため、WordPress4.0.1がセキュリティリリースされております。

(詳しくは記事「【重要】WordPress4.0.1のセキュリティリリース」を参照下さい。)

自動アップデートを行っていない方は、早急に手動アップデートを行うことを推奨します。

 

テーマに関しましては、今回は、脆弱性は発見されませんでした。

 

プラグインに関しましては、先月に引き続きまた、BulletProof Security Pluginにて3件の脆弱性情報が発見されました。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

  • Link Library PluginにてXSS
  • WP Photo Album Plus Pluginにて1件
  • Another WordPress Classifieds PluginにてSQLインジェクション
  • Paid Memberships Pro Pluginにてパストラバーサル
  • Google Doc Embedder PluginにてSQLインジェクション

 

 

脆弱性の内容別発生件数は、1位がXSSとSQLインジェクションでそれぞれ14件、3位がRCEで4件でした。

トピックスとして10月度と比較して、SQLインジェクションがかなり発生しました。また、脆弱性の件数も増加しました。

要因としてcformsII Pluginにて大量の脆弱性が発見されたこと、またWordPress本体の脆弱性が複数発見されたことが影響しております。

 

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。

脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。http://wp.kyubi.jp

 

表:2014年11月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたバージョン 発見日
プラグイン XSS post highlights Plugin 2014/11/3
プラグイン SQLインジェクション cformsII Plugin 2014/11/4
プラグイン SQLインジェクション cformsII Plugin 2014/11/4
プラグイン XSS Contact Form Clean and Simple Plugin 2014/11/4
プラグイン SQLインジェクション cformsII Plugin 2014/11/5
プラグイン SQLインジェクション cformsII Plugin 2014/11/5
プラグイン SQLインジェクション cformsII Plugin 2014/11/5
プラグイン SQLインジェクション cformsII Plugin 2014/11/5
プラグイン SQLインジェクション cformsII Plugin 2014/11/5
プラグイン SQLインジェクション cformsII Plugin 2014/11/5
プラグイン サニタイズの不備 WP Photo Album Plus Plugin 2014/11/5
プラグイン SQLインジェクション Store Locator Plugin 2014/11/5
プラグイン CSRF WordPoints Plugin 2014/11/5
プラグイン XSS WordPoints Plugin 2014/11/5
プラグイン SSRF BulletProof Security Plugin 2014/11/5
プラグイン SQLインジェクション BulletProof Security Plugin 2014/11/5
プラグイン XSS BulletProof Security Plugin 2014/11/5
プラグイン XSS Passwordless Login Plugin 2014/11/6
プラグイン XSS Link Library Plugin 2014/11/7
プラグイン XSS Contact Form to Email Plugin 2014/11/8
プラグイン SQLインジェクション Another WordPress Classifieds Plugin 2014/11/10
プラグイン XSS SupportEzzy Ticket System Plugin 2014/11/12
プラグイン XSS Watu Plugin 2014/11/12
プラグイン ディレクトリトラバーサル DukaPress Plugin 2014/11/13
プラグイン パストラバーサル Paid Memberships Pro Plugin 2014/11/19
プラグイン SQLインジェクション SP Project & Document Manager Plugin 2014/11/20
本体 XSS WordPress 4.0,3.9.2,3.8.4,3.7.4 2014/11/20
本体 XSS WordPress 4.0,3.9.2,3.8.4,3.7.4 2014/11/20
本体 パスワードに関する不備 WordPress 4.0,3.9.2,3.8.4,3.7.4 2014/11/20
本体 CSRF WordPress 4.0,3.9.2,3.8.4,3.7.4 2014/11/20
本体 XSS WordPress 4.0,3.9.2,3.8.4,3.7.4 2014/11/20
プラグイン RCE CM Download Manager Plugin 2014/11/20
本体 Dos攻撃 WordPress 4.0,3.9.2,3.8.4,3.7.4 2014/11/20
本体 XSS WordPress 4.0,3.9.2,3.8.4,3.7.4 2014/11/20
本体 MD5に関する不備 WordPress 4.0,3.9.2,3.8.4,3.7.4 2014/11/20
本体 SSRF WordPress 4.0,3.9.2,3.8.4,3.7.4 2014/11/20
プラグイン SQLインジェクション wpDataTables Plugin 2014/11/22
プラグイン RCE wpDataTables Plugin 2014/11/22
プラグイン SQLインジェクション Google Doc Embedder Plugin 2014/11/25
プラグイン XSS Sexy Squeeze Pages Plugin 2014/11/26
プラグイン RCE Slider Revolution Responsive Plugin 2014/11/26
プラグイン RCE Showbiz Pro Responsive Teaser Plugin 2014/11/26
プラグイン パス漏洩 HTML5 MP3 Player with Playlist Free Plugin 2014/11/27
プラグイン オープンリダイレクト Ad-Manager Plugin 2014/11/27
プラグイン パストラバーサル WP-DB-Backup Plugin 2014/11/27