————————————————————————————————————————-
WordPress 2015年1月_脆弱性集計 2015/2/10
————————————————————————————————————————-
2015年1月度のWordPressに関する脆弱性レポートをお知らせします。
1月度全体の脆弱性報告件数としては73件でした。12月度より31件減少しております。
個所別の発生件数は、それぞれ本体で0件、テーマは2件、プラグインが71件でした。今月は本体に脆弱性は発生しませんでした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。
トピックスとして、本体に脆弱性は発生いたしませんでした。
テーマに関しましては、「RedSteel」と「Bretheon Premium」にそれぞれ脆弱性が発見されております。
プラグインに関しましては、ブログでも速報を書かせて頂きました通り、50万ダウンロードのPhoto Gallery プラグインにSQLインジェクションやXSSなど複数の脆弱性情報が発見されました。
お使いの方は、バージョンの確認をすることを推奨します。また短期間に別々の脆弱性が発見されておりますので、先月確認したから大丈夫ではなく、今月もチェックされることをお勧めします。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Email newsletter Plugin にて XSS
- WP SlimStat Plugin にて XSS 2件
- SEO Friendly Images Plugin にて XSS
- Photo Gallery Plugin にて XSSやSQLインジェクションなど 計10件
- WP SlimStat Plugin にて XSS 2件
- Blubrry PowerPress Podcasting Plugin にて XSS
脆弱性の内容別発生件数は、1位がXSSで41件、2位がSQLインジェクションで7件、3位がCSRFで6件でした。
トピックスとして12月度と比較して、脆弱性の総数が減少したことに合わせてXSSとCSRFが減少しました。ただ、SQLインジェクションは若干増加しました。先月にかなりの数あった1つのプラグインにて複数の脆弱性が発生している件数が減少した為です。ただ、SQLインジェクションはPhoto Gallery Pluginにて複数発生した為に、微増となりました。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2015年1月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. | 発見日 |
| プラグイン | CSRF | Banner Effect Header Plugin | 2015/1/2 | |
| プラグイン | XSS | Banner Effect Header Plugin | 2015/1/2 | |
| プラグイン | XSS | SEO Friendly Images Plugin | 3.0.4 | 2015/1/2 |
| プラグイン | XSS | MockUp Plugin | 1.4.0 | 2015/1/3 |
| プラグイン | XSS | MP3-jPlayer Plugin | 2015/1/5 | |
| プラグイン | XSS | MP3-jPlayer Plugin | 2015/1/5 | |
| プラグイン | XSS | Email Newsletter Plugin | 2015/1/5 | |
| プラグイン | XSS | SumoMe Plugin | 2015/1/5 | |
| プラグイン | XSS | WP-Email Plugin | 2015/1/5 | |
| プラグイン | XSS | Email Plugin | 2015/1/5 | |
| プラグイン | RFD | mb.miniAudioPlayer Plugin | 2015/1/6 | |
| プラグイン | XSS | WP SlimStat Plugin | 2015/1/6 | |
| プラグイン | RCE | WordPress Shopping Cart (WP EasyCart) Plugin | 2015/1/8 | |
| プラグイン | 不特定の欠陥 | WP Ultimate CSV Importer Plugin | 2015/1/8 | |
| プラグイン | XSS | Slideoptinprox Plugin | 2015/1/9 | |
| プラグイン | XSS | Geo Mashup Plugin | 1.8.2 | 2015/1/11 |
| プラグイン | 無制限のファイルのアップロード | SP Project & Document Manager Plugin | 2015/1/12 | |
| プラグイン | SQLインジェクション | Photo Gallery Plugin | 2015/1/12 | |
| プラグイン | CSRF | Pods Plugin | 2.5 | 2015/1/12 |
| プラグイン | CSRF | Pods Plugin | 2.5 | 2015/1/12 |
| プラグイン | XSS | Pods Plugin | 2.5 | 2015/1/12 |
| プラグイン | CSRF | WP Ultimate CSV Importer Plugin | 2015/1/12 | |
| プラグイン | XSS | David Wells / Hudson Atwell Multiple Plugins | 2015/1/12 | |
| プラグイン | CSRF | Pods Plugin | 2.5 | 2015/1/12 |
| プラグイン | XSS | Pods Plugin | 2.5 | 2015/1/12 |
| プラグイン | オープンリダイレクト | All In One WordPress Security and Firewall Plugin | 3.8.8 | 2015/1/13 |
| プラグイン | 不特定の欠陥 | David Wells / Hudson Atwell Multiple Plugins | 2015/1/13 | |
| プラグイン | 不特定の欠陥 | All in One Auto Social Marketing Plugin | 12.1 | 2015/1/13 |
| プラグイン | 不特定の欠陥 | WP Plugin Info Card Plugin | 2015/1/13 | |
| プラグイン | XSS | Pixabay Images Plugin | 2.3 | 2015/1/14 |
| プラグイン | RCE | Pixabay Images Plugin | 2.3 | 2015/1/14 |
| プラグイン | パストラバーサル | Pixabay Images Plugin | 2.3 | 2015/1/14 |
| プラグイン | 認証バイパス | Pixabay Images Plugin | 2.3 | 2015/1/14 |
| プラグイン | XSS | Spider Video Player Plugin | 1.5.4 | 2015/1/15 |
| プラグイン | Remote Privilege Escalation | Pie Register Plugin | 2.0.13 | 2015/1/17 |
| プラグイン | LFI | CIP4 Folder Download Widget Plugin | 2015/1/19 | |
| プラグイン | XSS | Easing Slider Plugin | 2015/1/21 | |
| プラグイン | XSS | WP SlimStat Plugin | 2015/1/21 | |
| プラグイン | XSS | Daily menu Plugin | 2015/1/22 | |
| プラグイン | XSS | Daily menu Plugin | 2015/1/22 | |
| プラグイン | XSS | Thumbr.io Plugin | 2015/1/22 | |
| プラグイン | SQLインジェクション | Photo Gallery Plugin | 2015/1/23 | |
| プラグイン | SQLインジェクション | Photo Gallery Plugin | 2015/1/23 | |
| プラグイン | SQLインジェクション | Photo Gallery Plugin | 2015/1/23 | |
| プラグイン | SQLインジェクション | Photo Gallery Plugin | 2015/1/23 | |
| プラグイン | SQLインジェクション | Photo Gallery Plugin | 2015/1/23 | |
| プラグイン | SQLインジェクション | Photo Gallery Plugin | 2015/1/23 | |
| プラグイン | 不特定の欠陥 | WP Force SSL Plugin | 1.0 | 2015/1/23 |
| プラグイン | XSS | LeagueManager Plugin | 2015/1/24 | |
| プラグイン | XSS | LeagueManager Plugin | 2015/1/24 | |
| プラグイン | XSS | LeagueManager Plugin | 2015/1/24 | |
| プラグイン | XSS | LeagueManager Plugin | 2015/1/24 | |
| プラグイン | XSS | LeagueManager Plugin | 2015/1/24 | |
| プラグイン | XSS | LeagueManager Plugin | 2015/1/24 | |
| プラグイン | XSS | LeagueManager Plugin | 2015/1/24 | |
| プラグイン | XSS | LeagueManager Plugin | 2015/1/24 | |
| プラグイン | XSS | LeagueManager Plugin | 2015/1/24 | |
| プラグイン | XSS | LeagueManager Plugin | 2015/1/24 | |
| プラグイン | XSS | LeagueManager Plugin | 2015/1/24 | |
| プラグイン | XSS | LeagueManager Plugin | 2015/1/24 | |
| プラグイン | RCE | Photo Gallery Plugin | 2015/1/26 | |
| テーマ | パストラバーサル | RedSteel Theme | 2015/1/26 | |
| プラグイン | 不特定の欠陥 | Featured Image Caption Plugin | 0.3.3 | 2015/1/27 |
| プラグイン | 不正アクセス | Feedweb Plugin | 2015/1/27 | |
| プラグイン | XSS | Google Doc Embedder Plugin | 2015/1/28 | |
| プラグイン | XSS | Photo Gallery Plugin | 2015/1/28 | |
| プラグイン | XSS | Photo Gallery Plugin | 2015/1/28 | |
| プラグイン | CSRF | Fastly Plugin | 2015/1/29 | |
| プラグイン | XSS | Banner Effect Header Plugin | 2015/1/29 | |
| プラグイン | XSS | Blubrry PowerPress Podcasting Plugin | 6.0 | 2015/1/29 |
| プラグイン | XSS | Contact Form To DB Plugin | 2015/1/30 | |
| テーマ | 不特定の不正アクセス | Bretheon Premium Theme | 2015/1/30 | |
| プラグイン | XSS | EntryWizard Plugin | 1.2.12 | 2015/1/31 |