Pocket

————————————————————————————————————————-
WordPress 2014年12月_脆弱性集計                             2015/1/7
————————————————————————————————————————-

2014年12月度のWordPressに関する脆弱性レポートをお知らせします。

12月度全体の脆弱性報告件数としては104件でした。11月度より59件増えております。

個所別の発生件数は、それぞれ本体で0件、テーマは1件、プラグインが103件でした。今月は本体に脆弱性は発生しませんでした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

トピックスとして、本体に脆弱性は発生いたしませんでした。

テーマに関しましては、Echelon Themeにパストラバーサルの脆弱性は発見されております。

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、88万ダウンロードのInfiniteWP Clientプラグインに複数の脆弱性情報が発見されました。
しかも、パスワードに関する脆弱性に関しましては、現時点の最新版にて解消させておらず、利用している方、またこれから利用される方はご理解の上ご使用下さいませ。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

  • WordPress Download Managerにて2件
  • Cart66 PluginにてSQLインジェクションなど計4件
  • WP Limit Posts Automatically PluginにてCSRFとXSSの2件

 

 

脆弱性の内容別発生件数は、1位がXSSで55件、2位がCSRFで20件、3位がSQLインジェクションで4件でした。

トピックスとして11月度と比較して、XSSとCSRFがかなり増加しました。また、脆弱性の件数も増加しました。それに対してSQLインジェクションは減少しました。これらの要因としてWP Statistics PluginやWP Symposium Pluginなど1つのプラグインの複数ファイルにて脆弱性が発生したことが考えられます。1つのプラグインにて複数脆弱性が発生している件数が今までの月と比較してもかなり増加しておりました。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

https://wp.kyubi.jp

 

表:2014年12月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたバージョン 発見日
プラグイン XSS Facebook Like Box Plugin 2.8.2 2014/12/1
プラグイン 不特定の欠陥 WordPress Download Manager Plugin 2014/12/1
プラグイン XSS CM Download Manager Plugin 2.0.6 2014/12/1
プラグイン XSS WP Statistics Plugin 2014/12/2
プラグイン XSS WP Statistics Plugin 2014/12/2
プラグイン 入力事前認証コマンド実行 InfiniteWP Client Plugin 1.3.7 2014/12/2
プラグイン XSS WP Statistics Plugin 2014/12/2
プラグイン XSS WP Statistics Plugin 2014/12/2
プラグイン XSS WP Statistics Plugin 2014/12/2
プラグイン XSS WP Statistics Plugin 2014/12/2
プラグイン XSS WP Statistics Plugin 2014/12/2
プラグイン SQLインジェクション Feedweb Plugin 3.0.7 2014/12/3
プラグイン RCE WordPress Download Manager Plugin 2014/12/3
プラグイン SQLインジェクション Cart66 Plugin 2014/12/3
プラグイン XSS Broken Link Checker Plugin 2014/12/4
プラグイン アクセス制限の不備 WP Backitup Plugin 2014/12/4
プラグイン アクセス制限の不備 WP Backitup Plugin 2014/12/4
プラグイン XSS Broken Link Checker Plugin 2014/12/5
プラグイン XSS Yet Another Support Tool (YAST) Plugin 2014/12/5
プラグイン XSS Broken Link Checker Plugin 2014/12/5
プラグイン 不特定の欠陥 Awesome Surveys Plugin 2014/12/5
プラグイン XSS Better Search Plugin 2014/12/6
プラグイン パストラバーサル Ajax Store Locator Plugin 1.2.0 2014/12/6
プラグイン XSS Contact Form by ContactUs Plugin 5.0.5 2014/12/8
プラグイン 遠隔操作のチェックの不備 Contact Form by ContactUs Plugin 5.0.5 2014/12/8
プラグイン パーミッションチェックの不備 WP Database Backup Plugin 2014/12/8
プラグイン SQLインジェクション WP Symposium Plugin 2014/12/9
プラグイン XSS WP Symposium Plugin 2014/12/9
プラグイン XSS WP Symposium Plugin 2014/12/9
プラグイン XSS WP Symposium Plugin 2014/12/9
プラグイン XSS WP Symposium Plugin 2014/12/9
プラグイン XSS Another WordPress Classifieds Plugin 2014/12/9
プラグイン 不特定の欠陥 WP Marketplace Plugin 2.4.0 2014/12/9
プラグイン RCE InfiniteWP Client Plugin 2014/12/10
プラグイン SQLインジェクション InfiniteWP Client Plugin 2014/12/10
プラグイン SQLインジェクション InfiniteWP Client Plugin 2014/12/10
プラグイン XSS W3 Total Cache Plugin 0.9.4 2014/12/10
プラグイン CSRF W3 Total Cache Plugin 0.9.4 2014/12/10
プラグイン パスワードハッシュの不適切な取り扱い InfiniteWP Client Plugin 2014/12/10
プラグイン RCE WP Symposium Plugin 2014/12/11
プラグイン XSS Timed Popup Plugin 2014/12/12
プラグイン CSRF Timed Popup Plugin 2014/12/12
プラグイン XSS Our Team Showcase Plugin 1.2 2014/12/12
プラグイン CSRF Our Team Showcase Plugin 1.2 2014/12/12
プラグイン XSS WP-ViperGB Plugin 2014/12/12
プラグイン CSRF WP-ViperGB Plugin 2014/12/12
プラグイン XSS Simple Visitor Stat Plugin 2014/12/12
プラグイン CSRF Lightbox Photo Gallery Plugin 2014/12/12
プラグイン CSRF Sliding Social Icons Plugin 2014/12/12
プラグイン CSRF WP-FB-AutoConnect Plugin 2014/12/12
プラグイン XSS WP-FB-AutoConnect Plugin 2014/12/12
プラグイン XSS Lightbox Photo Gallery Plugin 2014/12/12
プラグイン XSS Sliding Recent Posts Plugin 2014/12/12
プラグイン CSRF Sliding Recent Posts Plugin 2014/12/12
プラグイン XSS Sliding Recent Posts Plugin 2014/12/12
プラグイン XSS Construction Mode Plugin 1.8 2014/12/12
プラグイン XSS twitterDash Plugin 2014/12/14
プラグイン XSS yURL ReTwitt Plugin 2014/12/14
プラグイン XSS wpCommentTwit Plugin 2014/12/14
プラグイン XSS SPNbabble Plugin 2014/12/14
プラグイン XSS Mikiurl Plugin 2014/12/14
プラグイン XSS DandyID Services Plugin 2014/12/14
プラグイン 遠隔操作のチェックの不備 WP Fastest Cache Plugin 2014/12/14
プラグイン XSS O2Tweet Plugin 2014/12/15
プラグイン 不特定の欠陥 MainWP Child Plugin 2014/12/15
プラグイン XSS Relevanssi Plugin 2014/12/16
テーマ パストラバーサル Echelon Theme 2014/12/17
プラグイン XSS Simple Security Plugin 1.1.5 2014/12/17
プラグイン CSRF Bird Feeder Plugin 2014/12/17
プラグイン XSS iTwitter Plugin 2014/12/18
プラグイン CSRF WP Unique Article Header Image Plugin 2014/12/18
プラグイン XSS WP Unique Article Header Image Plugin 2014/12/18
プラグイン RFD Sell Downloads Plugin 1.0 2014/12/19
プラグイン XSS PictoBrowser Plugin 2014/12/19
プラグイン XSS gSlideShow Plugin 2014/12/19
プラグイン XSS SimpleFlickr Plugin 2014/12/19
プラグイン XSS Simplelife Plugin 2014/12/19
プラグイン XSS PWGRandom Plugin 2014/12/19
プラグイン XSS Post to Twitter Plugin 2014/12/19
プラグイン CSRF TweetScribe Plugin 2014/12/19
プラグイン CSRF SimpleFlickr Plugin 2014/12/19
プラグイン CSRF Simplelife Plugin 2014/12/19
プラグイン CSRF PWGRandom Plugin 2014/12/19
プラグイン CSRF Post to Twitter Plugin 2014/12/19
プラグイン CSRF PictoBrowser Plugin 2014/12/19
プラグイン CSRF gSlideShow Plugin 2014/12/19
プラグイン XSS Sell Downloads Plugin 1.0 2014/12/19
プラグイン XSS twimp-wp Plugin 2014/12/19
プラグイン CSRF Twitter LiveBlog Plugin 2014/12/19
プラグイン CSRF WP Limit Posts Automatically Plugin 2014/12/19
プラグイン XSS WP Limit Posts Automatically Plugin 2014/12/19
プラグイン XSS Twitter LiveBlog Plugin 2014/12/19
プラグイン CSRF twimp-wp Plugin 2014/12/19
プラグイン XSS TweetScribe Plugin 2014/12/19
プラグイン SQLインジェクション Cart66 Plugin 2014/12/22
プラグイン パストラバーサル Cart66 Plugin 2014/12/22
プラグイン 設定操作の不備 Cart66 Plugin 2014/12/22
プラグイン XSS WP-dTree Plugin 4.3.1 2014/12/22
プラグイン XSS WP Shop and WP Shop Yandex Plugin 2014/12/26
プラグイン XSS Frontend Uploader Plugin 2014/12/27
プラグイン 不特定の欠陥 BigBlueButton Plugin 2014/12/29
プラグイン RCE cformsII plugin 2014/12/29
プラグイン ファイル操作の不備 DMSGuestbook Plugin 2014/12/30
プラグイン DOS攻撃 Cimy User Extra Fields Plugin 2014/12/31