Pocket

————————————————————————————————————————-
WordPress 2015年1月_脆弱性集計                             2015/2/10
————————————————————————————————————————-

2015年1月度のWordPressに関する脆弱性レポートをお知らせします。

1月度全体の脆弱性報告件数としては73件でした。12月度より31件減少しております。

個所別の発生件数は、それぞれ本体で0件、テーマは2件、プラグインが71件でした。今月は本体に脆弱性は発生しませんでした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

トピックスとして、本体に脆弱性は発生いたしませんでした。

 

テーマに関しましては、「RedSteel」と「Bretheon Premium」にそれぞれ脆弱性が発見されております。

 

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、50万ダウンロードのPhoto Gallery プラグインにSQLインジェクションやXSSなど複数の脆弱性情報が発見されました。

お使いの方は、バージョンの確認をすることを推奨します。また短期間に別々の脆弱性が発見されておりますので、先月確認したから大丈夫ではなく、今月もチェックされることをお勧めします。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

  • Email newsletter Plugin にて XSS
  • WP SlimStat Plugin にて XSS 2件
  • SEO Friendly Images Plugin にて XSS
  • Photo Gallery Plugin にて XSSやSQLインジェクションなど 計10件
  • WP SlimStat Plugin にて XSS 2件
  • Blubrry PowerPress Podcasting Plugin にて XSS

 

 

脆弱性の内容別発生件数は、1位がXSSで41件、2位がSQLインジェクションで7件、3位がCSRFで6件でした。

トピックスとして12月度と比較して、脆弱性の総数が減少したことに合わせてXSSとCSRFが減少しました。ただ、SQLインジェクションは若干増加しました。先月にかなりの数あった1つのプラグインにて複数の脆弱性が発生している件数が減少した為です。ただ、SQLインジェクションはPhoto Gallery Pluginにて複数発生した為に、微増となりました。

 

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

https://wp.kyubi.jp

 

表:2015年1月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer. 発見日
プラグイン CSRF Banner Effect Header Plugin   2015/1/2
プラグイン XSS Banner Effect Header Plugin   2015/1/2
プラグイン XSS SEO Friendly Images Plugin 3.0.4 2015/1/2
プラグイン XSS MockUp Plugin 1.4.0 2015/1/3
プラグイン XSS MP3-jPlayer Plugin   2015/1/5
プラグイン XSS MP3-jPlayer Plugin   2015/1/5
プラグイン XSS Email Newsletter Plugin   2015/1/5
プラグイン XSS SumoMe Plugin   2015/1/5
プラグイン XSS WP-Email Plugin   2015/1/5
プラグイン XSS Email Plugin   2015/1/5
プラグイン RFD mb.miniAudioPlayer Plugin   2015/1/6
プラグイン XSS WP SlimStat Plugin   2015/1/6
プラグイン RCE WordPress Shopping Cart (WP EasyCart) Plugin   2015/1/8
プラグイン 不特定の欠陥 WP Ultimate CSV Importer Plugin   2015/1/8
プラグイン XSS Slideoptinprox Plugin   2015/1/9
プラグイン XSS Geo Mashup Plugin 1.8.2 2015/1/11
プラグイン 無制限のファイルのアップロード SP Project & Document Manager Plugin   2015/1/12
プラグイン SQLインジェクション Photo Gallery Plugin   2015/1/12
プラグイン CSRF Pods Plugin 2.5 2015/1/12
プラグイン CSRF Pods Plugin 2.5 2015/1/12
プラグイン XSS Pods Plugin 2.5 2015/1/12
プラグイン CSRF WP Ultimate CSV Importer Plugin   2015/1/12
プラグイン XSS David Wells / Hudson Atwell Multiple Plugins   2015/1/12
プラグイン CSRF Pods Plugin 2.5 2015/1/12
プラグイン XSS Pods Plugin 2.5 2015/1/12
プラグイン オープンリダイレクト All In One WordPress Security and Firewall Plugin 3.8.8 2015/1/13
プラグイン 不特定の欠陥 David Wells / Hudson Atwell Multiple Plugins   2015/1/13
プラグイン 不特定の欠陥 All in One Auto Social Marketing Plugin 12.1 2015/1/13
プラグイン 不特定の欠陥 WP Plugin Info Card Plugin   2015/1/13
プラグイン XSS Pixabay Images Plugin 2.3 2015/1/14
プラグイン RCE Pixabay Images Plugin 2.3 2015/1/14
プラグイン パストラバーサル Pixabay Images Plugin 2.3 2015/1/14
プラグイン 認証バイパス Pixabay Images Plugin 2.3 2015/1/14
プラグイン XSS Spider Video Player Plugin 1.5.4 2015/1/15
プラグイン Remote Privilege Escalation Pie Register Plugin 2.0.13 2015/1/17
プラグイン LFI CIP4 Folder Download Widget Plugin   2015/1/19
プラグイン XSS Easing Slider Plugin   2015/1/21
プラグイン XSS WP SlimStat Plugin   2015/1/21
プラグイン XSS Daily menu Plugin   2015/1/22
プラグイン XSS Daily menu Plugin   2015/1/22
プラグイン XSS Thumbr.io Plugin   2015/1/22
プラグイン SQLインジェクション Photo Gallery Plugin   2015/1/23
プラグイン SQLインジェクション Photo Gallery Plugin   2015/1/23
プラグイン SQLインジェクション Photo Gallery Plugin   2015/1/23
プラグイン SQLインジェクション Photo Gallery Plugin   2015/1/23
プラグイン SQLインジェクション Photo Gallery Plugin   2015/1/23
プラグイン SQLインジェクション Photo Gallery Plugin   2015/1/23
プラグイン 不特定の欠陥 WP Force SSL Plugin 1.0 2015/1/23
プラグイン XSS LeagueManager Plugin   2015/1/24
プラグイン XSS LeagueManager Plugin   2015/1/24
プラグイン XSS LeagueManager Plugin   2015/1/24
プラグイン XSS LeagueManager Plugin   2015/1/24
プラグイン XSS LeagueManager Plugin   2015/1/24
プラグイン XSS LeagueManager Plugin   2015/1/24
プラグイン XSS LeagueManager Plugin   2015/1/24
プラグイン XSS LeagueManager Plugin   2015/1/24
プラグイン XSS LeagueManager Plugin   2015/1/24
プラグイン XSS LeagueManager Plugin   2015/1/24
プラグイン XSS LeagueManager Plugin   2015/1/24
プラグイン XSS LeagueManager Plugin   2015/1/24
プラグイン RCE Photo Gallery Plugin   2015/1/26
テーマ パストラバーサル RedSteel Theme   2015/1/26
プラグイン 不特定の欠陥 Featured Image Caption Plugin 0.3.3 2015/1/27
プラグイン 不正アクセス Feedweb Plugin   2015/1/27
プラグイン XSS Google Doc Embedder Plugin   2015/1/28
プラグイン XSS Photo Gallery Plugin   2015/1/28
プラグイン XSS Photo Gallery Plugin   2015/1/28
プラグイン CSRF Fastly Plugin   2015/1/29
プラグイン XSS Banner Effect Header Plugin   2015/1/29
プラグイン XSS Blubrry PowerPress Podcasting Plugin 6.0 2015/1/29
プラグイン XSS Contact Form To DB Plugin   2015/1/30
テーマ 不特定の不正アクセス Bretheon Premium Theme   2015/1/30
プラグイン XSS EntryWizard Plugin 1.2.12 2015/1/31