————————————————————————————————————————-
WordPress 2014年11月_脆弱性集計 2014/12/5
————————————————————————————————————————-
2014年11月度のWordPressに関する脆弱性レポートをお知らせします。
11月度全体の脆弱性報告件数としては45件でした。10月度より8件増えております。
個所別の発生件数は、それぞれ本体で9件、テーマは0件、プラグインで36件でした。今月はテーマに脆弱性は発生しませんでした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。
トピックスとして、本体に関する重要な脆弱性が発見されました。
そのため、WordPress4.0.1がセキュリティリリースされております。
(詳しくは記事「【重要】WordPress4.0.1のセキュリティリリース」を参照下さい。)
自動アップデートを行っていない方は、早急に手動アップデートを行うことを推奨します。
テーマに関しましては、今回は、脆弱性は発見されませんでした。
プラグインに関しましては、先月に引き続きまた、BulletProof Security Pluginにて3件の脆弱性情報が発見されました。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Link Library PluginにてXSS
- WP Photo Album Plus Pluginにて1件
- Another WordPress Classifieds PluginにてSQLインジェクション
- Paid Memberships Pro Pluginにてパストラバーサル
- Google Doc Embedder PluginにてSQLインジェクション
脆弱性の内容別発生件数は、1位がXSSとSQLインジェクションでそれぞれ14件、3位がRCEで4件でした。
トピックスとして10月度と比較して、SQLインジェクションがかなり発生しました。また、脆弱性の件数も増加しました。
要因としてcformsII Pluginにて大量の脆弱性が発見されたこと、またWordPress本体の脆弱性が複数発見されたことが影響しております。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。http://wp.kyubi.jp
表:2014年11月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたバージョン | 発見日 |
| プラグイン | XSS | post highlights Plugin | 2014/11/3 | |
| プラグイン | SQLインジェクション | cformsII Plugin | 2014/11/4 | |
| プラグイン | SQLインジェクション | cformsII Plugin | 2014/11/4 | |
| プラグイン | XSS | Contact Form Clean and Simple Plugin | 2014/11/4 | |
| プラグイン | SQLインジェクション | cformsII Plugin | 2014/11/5 | |
| プラグイン | SQLインジェクション | cformsII Plugin | 2014/11/5 | |
| プラグイン | SQLインジェクション | cformsII Plugin | 2014/11/5 | |
| プラグイン | SQLインジェクション | cformsII Plugin | 2014/11/5 | |
| プラグイン | SQLインジェクション | cformsII Plugin | 2014/11/5 | |
| プラグイン | SQLインジェクション | cformsII Plugin | 2014/11/5 | |
| プラグイン | サニタイズの不備 | WP Photo Album Plus Plugin | 2014/11/5 | |
| プラグイン | SQLインジェクション | Store Locator Plugin | 2014/11/5 | |
| プラグイン | CSRF | WordPoints Plugin | 2014/11/5 | |
| プラグイン | XSS | WordPoints Plugin | 2014/11/5 | |
| プラグイン | SSRF | BulletProof Security Plugin | 2014/11/5 | |
| プラグイン | SQLインジェクション | BulletProof Security Plugin | 2014/11/5 | |
| プラグイン | XSS | BulletProof Security Plugin | 2014/11/5 | |
| プラグイン | XSS | Passwordless Login Plugin | 2014/11/6 | |
| プラグイン | XSS | Link Library Plugin | 2014/11/7 | |
| プラグイン | XSS | Contact Form to Email Plugin | 2014/11/8 | |
| プラグイン | SQLインジェクション | Another WordPress Classifieds Plugin | 2014/11/10 | |
| プラグイン | XSS | SupportEzzy Ticket System Plugin | 2014/11/12 | |
| プラグイン | XSS | Watu Plugin | 2014/11/12 | |
| プラグイン | ディレクトリトラバーサル | DukaPress Plugin | 2014/11/13 | |
| プラグイン | パストラバーサル | Paid Memberships Pro Plugin | 2014/11/19 | |
| プラグイン | SQLインジェクション | SP Project & Document Manager Plugin | 2014/11/20 | |
| 本体 | XSS | WordPress | 4.0,3.9.2,3.8.4,3.7.4 | 2014/11/20 |
| 本体 | XSS | WordPress | 4.0,3.9.2,3.8.4,3.7.4 | 2014/11/20 |
| 本体 | パスワードに関する不備 | WordPress | 4.0,3.9.2,3.8.4,3.7.4 | 2014/11/20 |
| 本体 | CSRF | WordPress | 4.0,3.9.2,3.8.4,3.7.4 | 2014/11/20 |
| 本体 | XSS | WordPress | 4.0,3.9.2,3.8.4,3.7.4 | 2014/11/20 |
| プラグイン | RCE | CM Download Manager Plugin | 2014/11/20 | |
| 本体 | Dos攻撃 | WordPress | 4.0,3.9.2,3.8.4,3.7.4 | 2014/11/20 |
| 本体 | XSS | WordPress | 4.0,3.9.2,3.8.4,3.7.4 | 2014/11/20 |
| 本体 | MD5に関する不備 | WordPress | 4.0,3.9.2,3.8.4,3.7.4 | 2014/11/20 |
| 本体 | SSRF | WordPress | 4.0,3.9.2,3.8.4,3.7.4 | 2014/11/20 |
| プラグイン | SQLインジェクション | wpDataTables Plugin | 2014/11/22 | |
| プラグイン | RCE | wpDataTables Plugin | 2014/11/22 | |
| プラグイン | SQLインジェクション | Google Doc Embedder Plugin | 2014/11/25 | |
| プラグイン | XSS | Sexy Squeeze Pages Plugin | 2014/11/26 | |
| プラグイン | RCE | Slider Revolution Responsive Plugin | 2014/11/26 | |
| プラグイン | RCE | Showbiz Pro Responsive Teaser Plugin | 2014/11/26 | |
| プラグイン | パス漏洩 | HTML5 MP3 Player with Playlist Free Plugin | 2014/11/27 | |
| プラグイン | オープンリダイレクト | Ad-Manager Plugin | 2014/11/27 | |
| プラグイン | パストラバーサル | WP-DB-Backup Plugin | 2014/11/27 |