————————————————————————————————————————-
WordPress 2015年2月_脆弱性集計 2015/3/6
————————————————————————————————————————-
2015年2月度のWordPressに関する脆弱性レポートをお知らせします。
2月度全体の脆弱性報告件数としては110件でした。2月度より37件増加しております。
個所別の発生件数は、それぞれ本体で1件、テーマは6件、プラグインが103件でした。今月は本体に脆弱性が1件発生しました。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。
今月は前月までと違いテーマに関する脆弱性情報が複数発生しました。
トピックスとして、本体に1件脆弱性が発生しました。パスワードの再発行などの際に、一時的に仮パスワードをつくる擬似乱数生成器に欠陥があり、攻撃者が容易に管理者のパスワードを推定できてしまうようです。
テーマに関しましては、6件の脆弱性が発見されております。内容はパストラバーサルやCSRFなど各テーマごとそれぞれ異なる脆弱性が発生しているようです。
プラグインに関しましては、ブログでも速報を書かせて頂きました通り、180万ダウンロードされている有名バックアッププラグイン『UpdraftPlus Backup and Restoration Plugin』に暗号通信に用いられるノンスが攻撃者に利用されてしまう脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- UpdraftPlus Backup and Restoration Pluginにて1件
- Fancybox PluginにてRCIとXSS 2件
- Ninja Forms PluginにてXSS 2件
- Duplicator Pluginにて1件
- PlusCaptcha Plugin にてXSS 1件
- Gallery Bank PluginにてSQLインジェクション 1件
脆弱性の内容別発生件数は、1位がXSSで41件、2位がSQLインジェクションで31件、3位がCSRFで11件でした。
トピックスとして1月度と比較して、脆弱性の総数が増加したことに合わせてSQLインジェクションとCSRFが増加しました。XSSは同数でした。SQLインジェクションに関しましてはかなり数増加しております。Spider Facebook Pluginなどの1プラグインによる複数発生した為、また同提供者による複数プラグインに発生するなどの要因により増加したものとみられます。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2015年2月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. | 発見日 |
| プラグイン | XSS | WP EasyCart Plugin | 2015/2/1 | |
| プラグイン | XSS | WP EasyCart Plugin | 2015/2/1 | |
| プラグイン | XSS | WP EasyCart Plugin | 2015/2/1 | |
| プラグイン | XSS | Incoming Links Plugin | 0.9.9 | 2015/2/1 |
| プラグイン | XSS | WP EasyCart Plugin | 2015/2/1 | |
| プラグイン | XSS | WP EasyCart Plugin | 2015/2/1 | |
| テーマ | パストラバーサル | bazar Theme | 2015/2/2 | |
| プラグイン | SQLインジェクション | Users Ultra Plugin | 2015/2/2 | |
| プラグイン | SQLインジェクション | Most Popular Posts Widget Lite | 0.8 | 2015/2/2 |
| テーマ | CSRF | Quasar Theme | 2015/2/2 | |
| プラグイン | SQLインジェクション | Users Ultra Plugin | 2015/2/3 | |
| プラグイン | SQLインジェクション | Users Ultra Plugin | 2015/2/3 | |
| プラグイン | ノンスの不正利用 | UpdraftPlus Backup and Restoration Plugin | 1.9.50 | 2015/2/3 |
| プラグイン | 不特定の欠陥 | Admin Featured Images Plugin | 2015/2/4 | |
| プラグイン | RCI | Fancybox Plugin | 2015/2/4 | |
| プラグイン | SQLインジェクション | CP Contact Form with Paypal Plugin | 1.1.2 | 2015/2/5 |
| プラグイン | XSS | EntryWizard Plugin | 1.2.13 | 2015/2/5 |
| プラグイン | XSS | EntryWizard Plugin | 1.2.13 | 2015/2/5 |
| プラグイン | XSS | EntryWizard Plugin | 1.2.13 | 2015/2/5 |
| プラグイン | XSS | EntryWizard Plugin | 1.2.13 | 2015/2/5 |
| プラグイン | XSS | EntryWizard Plugin | 1.2.13 | 2015/2/5 |
| プラグイン | XSS | EntryWizard Plugin | 1.2.13 | 2015/2/5 |
| プラグイン | SQLインジェクション | Contact Form to Email Plugin | 2015/2/5 | |
| プラグイン | SQLインジェクション | CP Multi View Event Calendar Plugin | 1.0.2 | 2015/2/5 |
| プラグイン | XSS | Multi-language Responsive Contact Form Plugin | 2015/2/5 | |
| プラグイン | オープンリダイレクト | Multi-language Responsive Contact Form Plugin | 2015/2/5 | |
| プラグイン | 不特定の欠陥 | Multi-language Responsive Contact Form Plugin | 2015/2/5 | |
| プラグイン | SQLインジェクション | Spider Facebook Plugin | 1.0.10 | 2015/2/6 |
| プラグイン | SQLインジェクション | Spider Facebook Plugin | 1.0.10 | 2015/2/6 |
| プラグイン | XSS | Spider Facebook Plugin | 1.0.10 | 2015/2/6 |
| プラグイン | SQLインジェクション | Spider Facebook Plugin | 1.0.10 | 2015/2/6 |
| プラグイン | XSS | Spider Facebook Plugin | 1.0.10 | 2015/2/6 |
| プラグイン | XSS | Spider Facebook Plugin | 1.0.10 | 2015/2/6 |
| プラグイン | XSS | Spider Facebook Plugin | 1.0.10 | 2015/2/6 |
| プラグイン | XSS | Photo Gallery Plugin | 2015/2/6 | |
| プラグイン | XSS | Spider Facebook Plugin | 1.0.10 | 2015/2/6 |
| プラグイン | XSS | Spider Facebook Plugin | 1.0.10 | 2015/2/6 |
| プラグイン | SQLインジェクション | Calculated Fields Form Plugin | 2015/2/8 | |
| プラグイン | SQLインジェクション | Calculated Fields Form Plugin | 2015/2/8 | |
| テーマ | リモート管理ユーザーの作成 | WPLMS Theme | 2015/2/8 | |
| テーマ | RCE | Holding Pattern Theme | 2015/2/9 | |
| プラグイン | 不特定の欠陥 | AtContent Plugin | 2015/2/9 | |
| プラグイン | CSRF | Acobot Live Chat and Contact Form Plugin | 2015/2/9 | |
| プラグイン | CSRF | Redirection Page Plugin | 2015/2/9 | |
| プラグイン | CSRF | CrossSlide jQuery Plugin | 2015/2/9 | |
| プラグイン | CSRF | Mobile Domain Plugin | 2015/2/9 | |
| プラグイン | XSS | Cart66 Lite Plugin | 1.5.5 | 2015/2/9 |
| プラグイン | XSS | Acobot Live Chat and Contact Form Plugin | 2015/2/9 | |
| プラグイン | XSS | Redirection Page Plugin | 2015/2/9 | |
| プラグイン | XSS | CrossSlide jQuery Plugin | 2015/2/9 | |
| プラグイン | XSS | Mobile Domain Plugin | 2015/2/9 | |
| プラグイン | XSS | Fancybox Plugin | 2015/2/11 | |
| プラグイン | SQLインジェクション | Contus Video Gallery Plugin | 2015/2/11 | |
| プラグイン | 不特定の欠陥 | Artistography Plugin | 2015/2/11 | |
| プラグイン | CSRF | WPBook Plugin | 2.7 | 2015/2/11 |
| プラグイン | XSS | Ninja Forms Plugin | 2.8.13 | 2015/2/11 |
| プラグイン | XSS | Ninja Forms Plugin | 2.8.13 | 2015/2/11 |
| プラグイン | SQLインジェクション | WordPress Survey & Poll Plugin | 1.0 | 2015/2/11 |
| テーマ | RCE | Timelaph Theme | 2015/2/12 | |
| プラグイン | SQLインジェクション | CP Easy Form Builder Plugin | 2015/2/12 | |
| プラグイン | SQLインジェクション | CP Polls Plugin | 2015/2/12 | |
| プラグイン | 不特定の欠陥 | Simple Signup Form Plugin | 2015/2/12 | |
| プラグイン | 不特定の欠陥 | Advanced Dewplayer Plugin | 2015/2/12 | |
| プラグイン | SQLインジェクション | CP Contact Form with Paypal Plugin | 1.1.2 | 2015/2/12 |
| プラグイン | SQLインジェクション | Appointment Booking Calendar Plugin | 2015/2/12 | |
| プラグイン | SQLインジェクション | Booking Calendar Contact Form Plugin | 2015/2/12 | |
| プラグイン | SQLインジェクション | CP Multi View Event Calendar Plugin | 2015/2/12 | |
| プラグイン | SQLインジェクション | CP Reservation Calendar Plugin | 2015/2/12 | |
| プラグイン | SQLインジェクション | CP Appointment Calendar Plugin | 2015/2/12 | |
| プラグイン | SQLインジェクション | Contact Form to Email Plugin | 2015/2/12 | |
| 本体 | パスワード関連 | WordPress | 2015/2/12 | |
| プラグイン | SQLインジェクション | Spider Event Calendar Plugin | 2015/2/13 | |
| テーマ | RCE | Fusion Theme | 2015/2/13 | |
| プラグイン | CSRF | Logos des partis politiques francais Plugin | 2015/2/13 | |
| プラグイン | XSS | Stripe WooCommerce Addon Plugin | 2015/2/14 | |
| プラグイン | SQLインジェクション | WonderPlugin Audio Player Plugin | 2015/2/16 | |
| プラグイン | SQLインジェクション | WonderPlugin Audio Player Plugin | 2015/2/16 | |
| プラグイン | 保護メカニズム回避 | Google Captcha (reCAPTCHA) Plugin | 2015/2/16 | |
| プラグイン | XSS | Pie Register Plugin | 2015/2/16 | |
| プラグイン | CSRF | Image Metadata Cruncher Plugin | 2015/2/16 | |
| プラグイン | XSS | Image Metadata Cruncher Plugin | 2015/2/16 | |
| プラグイン | XSS | WonderPlugin Audio Player Plugin | 2015/2/16 | |
| プラグイン | XSS | WonderPlugin Audio Player Plugin | 2015/2/16 | |
| プラグイン | CSRF | Calculated Fields Form Plugin | 2015/2/17 | |
| プラグイン | CSRF | Calculated Fields Form Plugin | 2015/2/17 | |
| プラグイン | CSRF | Calculated Fields Form Plugin | 2015/2/17 | |
| プラグイン | RCE | WP EasyCart Plugin | 2015/2/17 | |
| プラグイン | XSS | Justified Image Grid Plugin | 2015/2/17 | |
| プラグイン | パストラバーサル | Justified Image Grid Plugin | 2015/2/17 | |
| プラグイン | バックアップファイルアクセス | Duplicator Plugin | 2015/2/18 | |
| プラグイン | SQLインジェクション | Store Locator Plugin | 2015/2/18 | |
| プラグイン | SQLインジェクション | Huge-IT Slider Plugin | 2015/2/19 | |
| プラグイン | XSS | PlusCaptcha Plugin | 2015/2/19 | |
| プラグイン | SQLインジェクション | Gallery Bank Plugin | 2015/2/21 | |
| プラグイン | XSS | ADPlugg Plugin | 2015/2/21 | |
| プラグイン | パストラバーサル | MainWP Plugin | 2015/2/23 | |
| プラグイン | XSS | EZ Portfolio Plugin | 2015/2/23 | |
| プラグイン | リモートファイルアップロードの無制限 | MainWP Plugin | 2015/2/23 | |
| プラグイン | XSS | Easy Social Icons Plugin | 2015/2/23 | |
| プラグイン | XSS | FL3R User Agent Comments Plugin | 2015/2/24 | |
| プラグイン | SQLインジェクション | WP SlimStat Plugin | 2015/2/24 | |
| プラグイン | 不正なリモートアクセス | WP EasyCart Plugin | 2015/2/25 | |
| プラグイン | XSS | Page Builder Plugin | 2015/2/26 | |
| プラグイン | RCE | Export WordPress data to XML/CSV Plugin | 0.9 | 2015/2/26 |
| プラグイン | RCE | WP Dynamic Links Plugin | 1.0 | 2015/2/26 |
| プラグイン | RCE | WP Wizard Cloak Plugin | 1.0 | 2015/2/26 |
| プラグイン | RCE | WP All Import Plugin | 2015/2/26 | |
| プラグイン | SQLインジェクション | IP Blacklist Cloud Plugin | 2015/2/26 | |
| プラグイン | 不特定の欠陥 | Breezing Forms Plugin | 2015/2/26 | |
| プラグイン | XSS | WP Media Cleaner Plugin | 2015/2/27 |