————————————————————————————————————————-
WordPress 2014年12月_脆弱性集計 2015/1/7
————————————————————————————————————————-
2014年12月度のWordPressに関する脆弱性レポートをお知らせします。
12月度全体の脆弱性報告件数としては104件でした。11月度より59件増えております。
個所別の発生件数は、それぞれ本体で0件、テーマは1件、プラグインが103件でした。今月は本体に脆弱性は発生しませんでした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。
トピックスとして、本体に脆弱性は発生いたしませんでした。
テーマに関しましては、Echelon Themeにパストラバーサルの脆弱性は発見されております。
プラグインに関しましては、ブログでも速報を書かせて頂きました通り、88万ダウンロードのInfiniteWP Clientプラグインに複数の脆弱性情報が発見されました。
しかも、パスワードに関する脆弱性に関しましては、現時点の最新版にて解消させておらず、利用している方、またこれから利用される方はご理解の上ご使用下さいませ。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- WordPress Download Managerにて2件
- Cart66 PluginにてSQLインジェクションなど計4件
- WP Limit Posts Automatically PluginにてCSRFとXSSの2件
脆弱性の内容別発生件数は、1位がXSSで55件、2位がCSRFで20件、3位がSQLインジェクションで4件でした。
トピックスとして11月度と比較して、XSSとCSRFがかなり増加しました。また、脆弱性の件数も増加しました。それに対してSQLインジェクションは減少しました。これらの要因としてWP Statistics PluginやWP Symposium Pluginなど1つのプラグインの複数ファイルにて脆弱性が発生したことが考えられます。1つのプラグインにて複数脆弱性が発生している件数が今までの月と比較してもかなり増加しておりました。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2014年12月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたバージョン | 発見日 |
| プラグイン | XSS | Facebook Like Box Plugin | 2.8.2 | 2014/12/1 |
| プラグイン | 不特定の欠陥 | WordPress Download Manager Plugin | 2014/12/1 | |
| プラグイン | XSS | CM Download Manager Plugin | 2.0.6 | 2014/12/1 |
| プラグイン | XSS | WP Statistics Plugin | 2014/12/2 | |
| プラグイン | XSS | WP Statistics Plugin | 2014/12/2 | |
| プラグイン | 入力事前認証コマンド実行 | InfiniteWP Client Plugin | 1.3.7 | 2014/12/2 |
| プラグイン | XSS | WP Statistics Plugin | 2014/12/2 | |
| プラグイン | XSS | WP Statistics Plugin | 2014/12/2 | |
| プラグイン | XSS | WP Statistics Plugin | 2014/12/2 | |
| プラグイン | XSS | WP Statistics Plugin | 2014/12/2 | |
| プラグイン | XSS | WP Statistics Plugin | 2014/12/2 | |
| プラグイン | SQLインジェクション | Feedweb Plugin | 3.0.7 | 2014/12/3 |
| プラグイン | RCE | WordPress Download Manager Plugin | 2014/12/3 | |
| プラグイン | SQLインジェクション | Cart66 Plugin | 2014/12/3 | |
| プラグイン | XSS | Broken Link Checker Plugin | 2014/12/4 | |
| プラグイン | アクセス制限の不備 | WP Backitup Plugin | 2014/12/4 | |
| プラグイン | アクセス制限の不備 | WP Backitup Plugin | 2014/12/4 | |
| プラグイン | XSS | Broken Link Checker Plugin | 2014/12/5 | |
| プラグイン | XSS | Yet Another Support Tool (YAST) Plugin | 2014/12/5 | |
| プラグイン | XSS | Broken Link Checker Plugin | 2014/12/5 | |
| プラグイン | 不特定の欠陥 | Awesome Surveys Plugin | 2014/12/5 | |
| プラグイン | XSS | Better Search Plugin | 2014/12/6 | |
| プラグイン | パストラバーサル | Ajax Store Locator Plugin | 1.2.0 | 2014/12/6 |
| プラグイン | XSS | Contact Form by ContactUs Plugin | 5.0.5 | 2014/12/8 |
| プラグイン | 遠隔操作のチェックの不備 | Contact Form by ContactUs Plugin | 5.0.5 | 2014/12/8 |
| プラグイン | パーミッションチェックの不備 | WP Database Backup Plugin | 2014/12/8 | |
| プラグイン | SQLインジェクション | WP Symposium Plugin | 2014/12/9 | |
| プラグイン | XSS | WP Symposium Plugin | 2014/12/9 | |
| プラグイン | XSS | WP Symposium Plugin | 2014/12/9 | |
| プラグイン | XSS | WP Symposium Plugin | 2014/12/9 | |
| プラグイン | XSS | WP Symposium Plugin | 2014/12/9 | |
| プラグイン | XSS | Another WordPress Classifieds Plugin | 2014/12/9 | |
| プラグイン | 不特定の欠陥 | WP Marketplace Plugin | 2.4.0 | 2014/12/9 |
| プラグイン | RCE | InfiniteWP Client Plugin | 2014/12/10 | |
| プラグイン | SQLインジェクション | InfiniteWP Client Plugin | 2014/12/10 | |
| プラグイン | SQLインジェクション | InfiniteWP Client Plugin | 2014/12/10 | |
| プラグイン | XSS | W3 Total Cache Plugin | 0.9.4 | 2014/12/10 |
| プラグイン | CSRF | W3 Total Cache Plugin | 0.9.4 | 2014/12/10 |
| プラグイン | パスワードハッシュの不適切な取り扱い | InfiniteWP Client Plugin | 2014/12/10 | |
| プラグイン | RCE | WP Symposium Plugin | 2014/12/11 | |
| プラグイン | XSS | Timed Popup Plugin | 2014/12/12 | |
| プラグイン | CSRF | Timed Popup Plugin | 2014/12/12 | |
| プラグイン | XSS | Our Team Showcase Plugin | 1.2 | 2014/12/12 |
| プラグイン | CSRF | Our Team Showcase Plugin | 1.2 | 2014/12/12 |
| プラグイン | XSS | WP-ViperGB Plugin | 2014/12/12 | |
| プラグイン | CSRF | WP-ViperGB Plugin | 2014/12/12 | |
| プラグイン | XSS | Simple Visitor Stat Plugin | 2014/12/12 | |
| プラグイン | CSRF | Lightbox Photo Gallery Plugin | 2014/12/12 | |
| プラグイン | CSRF | Sliding Social Icons Plugin | 2014/12/12 | |
| プラグイン | CSRF | WP-FB-AutoConnect Plugin | 2014/12/12 | |
| プラグイン | XSS | WP-FB-AutoConnect Plugin | 2014/12/12 | |
| プラグイン | XSS | Lightbox Photo Gallery Plugin | 2014/12/12 | |
| プラグイン | XSS | Sliding Recent Posts Plugin | 2014/12/12 | |
| プラグイン | CSRF | Sliding Recent Posts Plugin | 2014/12/12 | |
| プラグイン | XSS | Sliding Recent Posts Plugin | 2014/12/12 | |
| プラグイン | XSS | Construction Mode Plugin | 1.8 | 2014/12/12 |
| プラグイン | XSS | twitterDash Plugin | 2014/12/14 | |
| プラグイン | XSS | yURL ReTwitt Plugin | 2014/12/14 | |
| プラグイン | XSS | wpCommentTwit Plugin | 2014/12/14 | |
| プラグイン | XSS | SPNbabble Plugin | 2014/12/14 | |
| プラグイン | XSS | Mikiurl Plugin | 2014/12/14 | |
| プラグイン | XSS | DandyID Services Plugin | 2014/12/14 | |
| プラグイン | 遠隔操作のチェックの不備 | WP Fastest Cache Plugin | 2014/12/14 | |
| プラグイン | XSS | O2Tweet Plugin | 2014/12/15 | |
| プラグイン | 不特定の欠陥 | MainWP Child Plugin | 2014/12/15 | |
| プラグイン | XSS | Relevanssi Plugin | 2014/12/16 | |
| テーマ | パストラバーサル | Echelon Theme | 2014/12/17 | |
| プラグイン | XSS | Simple Security Plugin | 1.1.5 | 2014/12/17 |
| プラグイン | CSRF | Bird Feeder Plugin | 2014/12/17 | |
| プラグイン | XSS | iTwitter Plugin | 2014/12/18 | |
| プラグイン | CSRF | WP Unique Article Header Image Plugin | 2014/12/18 | |
| プラグイン | XSS | WP Unique Article Header Image Plugin | 2014/12/18 | |
| プラグイン | RFD | Sell Downloads Plugin | 1.0 | 2014/12/19 |
| プラグイン | XSS | PictoBrowser Plugin | 2014/12/19 | |
| プラグイン | XSS | gSlideShow Plugin | 2014/12/19 | |
| プラグイン | XSS | SimpleFlickr Plugin | 2014/12/19 | |
| プラグイン | XSS | Simplelife Plugin | 2014/12/19 | |
| プラグイン | XSS | PWGRandom Plugin | 2014/12/19 | |
| プラグイン | XSS | Post to Twitter Plugin | 2014/12/19 | |
| プラグイン | CSRF | TweetScribe Plugin | 2014/12/19 | |
| プラグイン | CSRF | SimpleFlickr Plugin | 2014/12/19 | |
| プラグイン | CSRF | Simplelife Plugin | 2014/12/19 | |
| プラグイン | CSRF | PWGRandom Plugin | 2014/12/19 | |
| プラグイン | CSRF | Post to Twitter Plugin | 2014/12/19 | |
| プラグイン | CSRF | PictoBrowser Plugin | 2014/12/19 | |
| プラグイン | CSRF | gSlideShow Plugin | 2014/12/19 | |
| プラグイン | XSS | Sell Downloads Plugin | 1.0 | 2014/12/19 |
| プラグイン | XSS | twimp-wp Plugin | 2014/12/19 | |
| プラグイン | CSRF | Twitter LiveBlog Plugin | 2014/12/19 | |
| プラグイン | CSRF | WP Limit Posts Automatically Plugin | 2014/12/19 | |
| プラグイン | XSS | WP Limit Posts Automatically Plugin | 2014/12/19 | |
| プラグイン | XSS | Twitter LiveBlog Plugin | 2014/12/19 | |
| プラグイン | CSRF | twimp-wp Plugin | 2014/12/19 | |
| プラグイン | XSS | TweetScribe Plugin | 2014/12/19 | |
| プラグイン | SQLインジェクション | Cart66 Plugin | 2014/12/22 | |
| プラグイン | パストラバーサル | Cart66 Plugin | 2014/12/22 | |
| プラグイン | 設定操作の不備 | Cart66 Plugin | 2014/12/22 | |
| プラグイン | XSS | WP-dTree Plugin | 4.3.1 | 2014/12/22 |
| プラグイン | XSS | WP Shop and WP Shop Yandex Plugin | 2014/12/26 | |
| プラグイン | XSS | Frontend Uploader Plugin | 2014/12/27 | |
| プラグイン | 不特定の欠陥 | BigBlueButton Plugin | 2014/12/29 | |
| プラグイン | RCE | cformsII plugin | 2014/12/29 | |
| プラグイン | ファイル操作の不備 | DMSGuestbook Plugin | 2014/12/30 | |
| プラグイン | DOS攻撃 | Cimy User Extra Fields Plugin | 2014/12/31 |