2015年3月度
WordPress脆弱性レポート

Tweet

Pocket

————————————————————————————————————————-
WordPress　2015年3月_脆弱性集計　　　　                        　2015/4/6
————————————————————————————————————————-

2015年3月度のWordPressに関する脆弱性レポートをお知らせします。

3月度全体の脆弱性報告件数としては83件でした。2月度より27件減少しております。

個所別の発生件数は、それぞれ本体で0件、テーマは9件、プラグインが74件でした。今月は本体にて脆弱性は発見されませんでした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

今月も前月と同様にテーマに関する脆弱性情報が複数発生しました。

トピックスです。本体に関しましては、前述のとおり脆弱性情報は発生しませんでした。

テーマに関しましては、9件の脆弱性が発見されております。KYUBIでの統計以来最多でした。内容はSQLインジェクション、XSS、RCEなど各テーマごとそれぞれ異なる脆弱性が発生しているようです。

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、100万ダウンロード以上されている超有名なWordPressをECサイト化するプラグイン『WooCommerce Plugin』にクロスサイトスクリプティング、およびSQLインジェクションと一般的な２つの脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

• Contact Form To DB Plugin　にてCSRF　1件
• WordPress Backup to Dropbox Plugin　にてXSS　1件
• The Newsletter Plugin　にてオープンリダイレクト　2件
• WordPress SEO by Yoast Plugin　にてCSRFとSQLインジェクション　2件
• Google Analytics by Yoast Plugin　にてXSS　2件
• WP-Optimize Plugin　にて未知の脆弱性　1件
• All In One SEO Pack Plugin　にて情報管理不備の脆弱性　1件

脆弱性の内容別発生件数は、1位がXSSで21件、2位がSQLインジェクションで20件、3位がパストラバーサルで6件でした。

トピックスとして2月度と比較して、脆弱性の総数が減少したことに合わせてXSS、SQLインジェクションとCSRFが軒並み減少しました。その一方でパストラバーサルは微増しました。この一要因としてAspose社が提供している複数のプラグインにこの脆弱性が発生したためだと考えられます。また先月まであまり見なかったオープンリダイレクトの脆弱性も当月では発生いたしました。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

https://wp.kyubi.jp/

表：2015年3月度脆弱性一覧