Pocket

————————————————————————————————————————-
WordPress 2015年3月_脆弱性集計                             2015/4/6
————————————————————————————————————————-

2015年3月度のWordPressに関する脆弱性レポートをお知らせします。

3月度全体の脆弱性報告件数としては83件でした。2月度より27件減少しております。

個所別の発生件数は、それぞれ本体で0件、テーマは9件、プラグインが74件でした。今月は本体にて脆弱性は発見されませんでした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

今月も前月と同様にテーマに関する脆弱性情報が複数発生しました。

トピックスです。本体に関しましては、前述のとおり脆弱性情報は発生しませんでした。

 

テーマに関しましては、9件の脆弱性が発見されております。KYUBIでの統計以来最多でした。内容はSQLインジェクション、XSS、RCEなど各テーマごとそれぞれ異なる脆弱性が発生しているようです。

 

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、100万ダウンロード以上されている超有名なWordPressをECサイト化するプラグイン『WooCommerce Plugin』にクロスサイトスクリプティング、およびSQLインジェクションと一般的な2つの脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

  • Contact Form To DB Plugin にてCSRF 1件
  • WordPress Backup to Dropbox Plugin にてXSS 1件
  • The Newsletter Plugin にてオープンリダイレクト 2件
  • WordPress SEO by Yoast Plugin にてCSRFとSQLインジェクション 2件
  • Google Analytics by Yoast Plugin にてXSS 2件
  • WP-Optimize Plugin にて未知の脆弱性 1件
  • All In One SEO Pack Plugin にて情報管理不備の脆弱性 1件

 

 

脆弱性の内容別発生件数は、1位がXSSで21件、2位がSQLインジェクションで20件、3位がパストラバーサルで6件でした。

トピックスとして2月度と比較して、脆弱性の総数が減少したことに合わせてXSS、SQLインジェクションとCSRFが軒並み減少しました。その一方でパストラバーサルは微増しました。この一要因としてAspose社が提供している複数のプラグインにこの脆弱性が発生したためだと考えられます。また先月まであまり見なかったオープンリダイレクトの脆弱性も当月では発生いたしました。

 

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

 

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

https://wp.kyubi.jp/

表:2015年3月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer. 発見日
プラグイン XSS Contact Form 7 Get and Show Parameter from URL Plugin 0.9.6 2015/3/2
テーマ SQLインジェクション Photocrati Theme 2015/3/2
プラグイン XSS WordPress Backup to Dropbox Plugin 4.0 2015/3/2
プラグイン RCE Wpshop Plugin 2015/3/2
プラグイン SQLインジェクション Calculated Fields Form Plugin 2015/3/3
プラグイン SQLインジェクション Booking Calendar Contact Form Plugin 2015/3/3
プラグイン SQLインジェクション CP Polls Plugin 2015/3/3
プラグイン 不特定の欠陥 WWM Registration Form Plugin 2015/3/3
プラグイン SQLインジェクション Booking Calendar Contact Form Plugin 2015/3/3
プラグイン XSS WP Plugin Info Card Plugin 2.3.6 2015/3/4
プラグイン XSS WP Plugin Info Card Plugin 2.3.6 2015/3/4
テーマ Remote Privilege Escalation Ya’arburnee and Dignitas themes 2015/3/4
プラグイン CSRF Contact Form To DB Plugin 2015/3/4
プラグイン メディア編集を可能にする不備 IgnitionDeck Plugin 2015/3/5
プラグイン SQLインジェクション Spider Event Calendar Plugin 2015/3/5
プラグイン SQLインジェクション Spider Event Calendar Plugin 2015/3/5
プラグイン XSS Spider Event Calendar Plugin 2015/3/5
プラグイン SQLインジェクション Spider Event Calendar Plugin 2015/3/5
プラグイン SQLインジェクション SP Project & Document Manager Plugin 2.4.2 2015/3/5
プラグイン SQLインジェクション Spider Event Calendar Plugin 2015/3/5
プラグイン 拡張ライセンスの認証に関する不備 IgnitionDeck Plugin 2015/3/5
プラグイン XSS Max Banner Ads Plugin 2015/3/5
プラグイン オープンリダイレクト The Newsletter Plugin 2015/3/5
プラグイン 不特定の欠陥 BBPress Plugin 2015/3/6
プラグイン 認証バイパス MainWP-Child Plugin 2.0.9 2015/3/6
プラグイン XSS FormGet Contact Form Plugin 5.3 2015/3/7
テーマ SQLインジェクション Daily Edition Theme 2015/3/7
プラグイン パストラバーサル IP Blacklist Cloud Plugin 3.3 2015/3/7
プラグイン 不特定の欠陥 Ajax Search Lite Plugin 2015/3/9
プラグイン 不特定の欠陥 Related Posts Lite Plugin 2015/3/9
プラグイン 不特定の情報管理不備 MiwoFTP Plugin 2015/3/9
テーマ XSS Custom Community Theme 2015/3/9
プラグイン XSS Google Analytics by Yoast Plugin 2015/3/9
テーマ Remote Privilege Escalation Fraction Theme 2015/3/10
テーマ パスディスクロージャー Daily Edition Theme 2015/3/10
テーマ XSS Daily Edition Theme 2015/3/10
プラグイン CSRF Spider Event Calendar Plugin 2015/3/11
プラグイン CSRF WordPress SEO by Yoast Plugin 1.7.3.3 2015/3/11
プラグイン SQLインジェクション WordPress SEO by Yoast Plugin 1.7.3.3 2015/3/11
プラグイン SQLインジェクション WP All Import Plugin 2015/3/12
プラグイン XSS WP All Import Plugin 2015/3/12
プラグイン XSS WPML Plugin 2015/3/12
プラグイン リモートコンテンツ削除を制御 WPML Plugin 2015/3/12
プラグイン SQLインジェクション WPML Plugin 2015/3/12
プラグイン CSRF AB Google Map Travel Plugin 3.4 2015/3/13
プラグイン XSS AB Google Map Travel Plugin 3.4 2015/3/13
プラグイン XSS WooCommerce Plugin 2015/3/13
プラグイン SQLインジェクション WooCommerce Plugin 2015/3/13
プラグイン 不特定の欠陥 Swift Security Lite Plugin 2015/3/15
プラグイン SQLインジェクション Pods Plugin 2.5.1.1 2015/3/16
テーマ RCE DesignFolio+ Theme 2015/3/16
プラグイン SQLインジェクション Gravity Forms Plugin 2015/3/17
プラグイン SQLインジェクション Gravity Forms Plugin 2015/3/17
プラグイン 複数の認証されていないAjaxアクション WPML Plugin 2015/3/17
プラグイン 不特定の欠陥 WP-Optimize Plugin 2015/3/18
プラグイン XSS Easy Coming Soon Plugin 1.6.2 2015/3/18
プラグイン SQLインジェクション Live Forms Plugin 3.0.1 2015/3/18
プラグイン XSS Google Analytics by Yoast Plugin 2015/3/19
プラグイン XSS Leads Plugin 1.6.1 2015/3/20
プラグイン 不特定の欠陥 Landing Pages Plugin 2015/3/20
プラグイン 不特定の欠陥 Calls to Action Plugin 2015/3/20
プラグイン ダイレクトアクセス認証バイパス Category and Page Icons Plugin 0.9.1 2015/3/20
プラグイン ダイレクトアクセス認証バイパス Category and Page Icons Plugin 0.9.1 2015/3/20
プラグイン CSRF PlusCaptcha Plugin 2015/3/22
プラグイン Remote Privilege Escalation Ajax Search Pro Plugin 2015/3/22
プラグイン SQLインジェクション WP-Donate Plugin 2015/3/23
プラグイン パスディスクロージャー PageBuilderSandwich Plugin 2015/3/23
プラグイン パストラバーサル MP3-jPlayer Plugin 2015/3/23
プラグイン パスディスクロージャー Gallery plugin 2015/3/24
プラグイン RCE InBoundio Marketing Plugin 2015/3/24
テーマ XSS flashy Theme 2015/3/26
プラグイン パストラバーサル Aspose Cloud eBook Generator Plugin 2015/3/26
プラグイン XSS Auto Affiliate Links Plugin 2015/3/26
プラグイン パストラバーサル Aspose PDF Exporter Plugin 2015/3/29
プラグイン パストラバーサル Aspose Importer & Exporter Plugin 2015/3/29
プラグイン XSS MaxButtons Plugin 1.3.6 2015/3/29
プラグイン XSS MaxButtons Plugin 1.3.6 2015/3/29
プラグイン パストラバーサル Aspose DOC Exporter Plugin 2015/3/30
プラグイン オープンリダイレクト The Newsletter Plugin 2015/3/30
プラグイン 不特定の欠陥 eFront Plugin 2015/3/30
プラグイン 不特定の欠陥 WP Ultimate CSV Importer Plugin 3.6.77 2015/3/30
プラグイン 不特定の欠陥 90min Plugin 2015/3/30
プラグイン 情報管理不備 All In One SEO Pack Plugin 2015/3/31