WordPress 2015年4月_脆弱性集計 2015/5/14
2015年4月度のWordPressに関する脆弱性レポートをお知らせします。
4月度全体の脆弱性報告件数としては153件でした。3月度より70件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体で4件、テーマも4件、プラグインが145件でした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。
また、今月は先月と違い、本体に複数の脆弱性が発生しました。プラグインの数も先月と比べてかなり増加しております。テーマに関しましても先月と同様に脆弱性情報が複数発生しました。
トピックス
本体に4件脆弱性が発生しました。時期としては2度あり、1度目の発生時には、XSS含む3件発生し、対策版であるバージョン4.1.2がリリースされました。
ところが、そのあとすぐに、さらに追加で1件の脆弱性情報が報告され、対策版であるバージョン4.2.1がリリースされております。
(※2015年5月14日時点での最新バージョンは4.2.2となっております)
テーマに関しましても4件の脆弱性が発見されております。脆弱性内容はXSS、RCEなどです。
プラグインに関しましては、ブログでも速報を書かせて頂きました通り、100万ダウンロード以上されている超有名なWordPressの高速化プラグイン『WP Super Cache』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年5月14日時点での最新バージョンは1.4.4となっております)
また、4月下旬にWordPressの関数を不適切に利用していることに起因する脆弱性が、一気に多数のプラグインに発見されました。
内容としては
- 「add_query_arg()」
- 「remove_query_arg()」
の2つの関数について、公式ドキュメントが十分な説明を指定なかったために発生したとのことです。
(発見されたプラグインなどの詳細情報はこちらをご参照ください)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- All In One WP Security & Firewall PluginにてSQLインジェクション 4件
- Duplicator PluginにてSQLインジェクション 1件
- WP Statistics PluginにてXSS 1 件
- WP User Avatar PluginにてXSS 1件
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで81件、2位がSQLインジェクションで25件、3位がCSRFで14件でした。
トピックス
3月度と比較して、脆弱性の総数が大幅に増加したことに合わせてXSS、SQLインジェクションとCSRFが軒並み増加しました。特にXSSは約4倍になっております。
この一要因として先ほども書かせていただきました通り、4月下旬に発生したWordPressの関数を不適切に利用していることに起因する脆弱性が、一気に多数のプラグインに発見されたことが影響しております。
発見された脆弱性のほぼすべてがXSSでした。
脆弱性一覧
2015年4月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2015年4月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. | 発見日 |
|---|---|---|---|---|
| プラグイン | CSRF | Favicon by RealFaviconGenerator Plugin | 2015/4/1 | |
| プラグイン | SQLインジェクション | Business Intelligence Lite Plugin | 2015/4/1 | |
| プラグイン | CSRF | WP Easy Slideshow Plugin | 2015/4/2 | |
| プラグイン | CSRF | WP Easy Slideshow Plugin | 2015/4/2 | |
| テーマ | RCE | UpThemes Multiple Themes | 2015/4/2 | |
| プラグイン | SQLインジェクション | Events Manager Plugin | 2015/4/2 | |
| プラグイン | RCE | Better WP Security Plugin | 2015/4/2 | |
| プラグイン | SQLインジェクション | Simple Ads Manager Plugin | 2015/4/2 | |
| プラグイン | RCE | Simple Ads Manager Plugin | 2015/4/2 | |
| プラグイン | SQLインジェクション | Simple Ads Manager Plugin | 2015/4/2 | |
| プラグイン | XSS | WP Super Cache Plugin | 2015/4/3 | |
| プラグイン | リモートファイルアップロード | Work The Flow File Upload Plugin | 2015/4/4 | |
| プラグイン | XSS | QRCodes Plugin | 1.3.3 | 2015/4/4 |
| テーマ | リモート権限昇格 | QAEngine Theme | 2015/4/6 | |
| プラグイン | リモートファイルアップロード | PHP Event Calendar Plugin | 2015/4/6 | |
| プラグイン | SQLインジェクション | All In One WP Security & Firewall Plugin | 2015/4/6 | |
| プラグイン | SQLインジェクション | All In One WP Security & Firewall Plugin | 2015/4/6 | |
| プラグイン | SQLインジェクション | All In One WP Security & Firewall Plugin | 2015/4/6 | |
| プラグイン | SQLインジェクション | All In One WP Security & Firewall Plugin | 2015/4/6 | |
| プラグイン | CSRF | Floating Social Bar Plugin | 1.1.6 | 2015/4/7 |
| プラグイン | SQLインジェクション | WP Fastest Cache Plugin | 2015/4/7 | |
| プラグイン | 不正な設定操作 | Floating Social Bar Plugin | 1.1.6 | 2015/4/7 |
| プラグイン | XSS | TheCartPress Plugin | 2015/4/8 | |
| プラグイン | XSS | TheCartPress Plugin | 2015/4/8 | |
| プラグイン | XSS | TheCartPress Plugin | 2015/4/8 | |
| プラグイン | XSS | TheCartPress Plugin | 2015/4/8 | |
| プラグイン | 顧客情報漏洩 | TheCartPress Plugin | 2015/4/8 | |
| プラグイン | パストラバーサル | TheCartPress Plugin | 2015/4/8 | |
| プラグイン | XSS | TheCartPress Plugin | 2015/4/8 | |
| プラグイン | SQLインジェクション | Traffic Analyzer Plugin | 2015/4/8 | |
| プラグイン | 未公開の投稿に対する不正アクセス | JSON REST API Plugin | 1.2 | 2015/4/9 |
| プラグイン | SQLインジェクション | Duplicator Plugin | 2015/4/9 | |
| プラグイン | 不特定の欠陥 | Zedity Plugin | 5.0.2 | 2015/4/9 |
| プラグイン | CSRF | BuddyPress Plugin | 2015/4/10 | |
| プラグイン | 不特定の入力検証の問題 | BuddyPress Plugin | 2015/4/10 | |
| プラグイン | RCE | Windows Desktop and iPhone Photo Uploader Plugin | 2015/4/10 | |
| プラグイン | パストラバーサル | Fusion Engage Plugin | 2015/4/10 | |
| プラグイン | CSRF | Broken Link Checker Plugin | 2015/4/11 | |
| プラグイン | XSS | Broken Link Checker Plugin | 2015/4/11 | |
| プラグイン | XSS | Add Link to Facebook Plugin | 2015/4/11 | |
| プラグイン | Direct Request Remote Bypass | Collapsing Categories List Plugin | 2015/4/12 | |
| プラグイン | SQLインジェクション | Community Events Plugin | 1.3.5 | 2015/4/12 |
| プラグイン | SQLインジェクション | Community Events Plugin | 1.3.5 | 2015/4/12 |
| プラグイン | SQLインジェクション | Tune Library Plugin | 2015/4/12 | |
| プラグイン | SQLインジェクション | Community Events Plugin | 1.3.5 | 2015/4/12 |
| プラグイン | パストラバーサル | Mobile Edition Plugin | 2.2.7 | 2015/4/13 |
| プラグイン | RCE | N-Media Website Contact Form with File Upload Plugin | 2015/4/13 | |
| プラグイン | XSS | My Wish List Plugin | 1.4.1 | 2015/4/13 |
| プラグイン | XSS | Simple Secure Contact Form Plugin | 0.2 | 2015/4/13 |
| プラグイン | XSS | My Wish List Plugin | 1.4.1 | 2015/4/13 |
| プラグイン | SQLインジェクション | Contus Video Gallery Plugin | 2015/4/14 | |
| プラグイン | CSRF | JW Player Plugin | 2015/4/14 | |
| プラグイン | CSRF | JW Player Plugin | 2015/4/14 | |
| プラグイン | パストラバーサル | Crayon Syntax Highlighter Plugin | 2015/4/14 | |
| プラグイン | XSS | iThemes Security Plugin | 2015/4/14 | |
| プラグイン | SQLインジェクション | WP Symposium Plugin | 2015/4/14 | |
| プラグイン | CSRF | MiwoFTP Plugin | 2015/4/14 | |
| プラグイン | XSS | MiwoFTP Plugin | 2015/4/14 | |
| プラグイン | リモートでのファイル削除 | MiwoFTP Plugin | 2015/4/14 | |
| プラグイン | パラメータパス漏洩 | eShop plugin | 2015/4/15 | |
| プラグイン | XSS | eShop plugin | 2015/4/15 | |
| プラグイン | CSRF | Contus Video Gallery Plugin | 2015/4/15 | |
| プラグイン | XSS | WP Statistics Plugin | 2015/4/15 | |
| プラグイン | XSS | FooBox Image Lightbox Plugin | 2015/4/16 | |
| プラグイン | XSS | Citizen Space Plugin | 2015/4/16 | |
| プラグイン | XSS | Content Slide Plugin | 2015/4/16 | |
| プラグイン | SQLインジェクション | Ajax Store Locator Plugin | 2015/4/16 | |
| プラグイン | パストラバーサル | WP-Mon Plugin | 2015/4/17 | |
| プラグイン | SQLインジェクション | Users Ultra Plugin | 1.4.95 | 2015/4/17 |
| プラグイン | バイパスのチェックの機能不備 | Mashshare Plugin | 2.3.2 | 2015/4/17 |
| プラグイン | XSS | Broken Link Checker Plugin | 2015/4/20 | |
| プラグイン | CSRF | Ultimate Profile Builder Plugin | 2015/4/20 | |
| プラグイン | XSS | Link Library Plugin | 2015/4/20 | |
| プラグイン | XSS | Link Library Plugin | 2015/4/20 | |
| プラグイン | XSS | Link Library Plugin | 2015/4/20 | |
| プラグイン | XSS | Bilingual Linker Plugin | 2.1.1 | 2015/4/20 |
| プラグイン | XSS | Link Library Plugin | 2015/4/20 | |
| プラグイン | XSS | WDS Multisite Aggregate Plugin | 1.0.0 | 2015/4/20 |
| プラグイン | XSS | Taxonomy Switcher Plugin | 1.0.1 | 2015/4/20 |
| プラグイン | XSS | Two Factor Authentication Plugin | 1.1.9 | 2015/4/20 |
| プラグイン | XSS | Two Factor Authentication Plugin | 1.1.9 | 2015/4/20 |
| プラグイン | XSS | Two Factor Authentication Plugin | 1.1.9 | 2015/4/20 |
| プラグイン | XSS | Date-based Taxonomy Archives Plugin | 0.3 | 2015/4/20 |
| プラグイン | XSS | View All Post’s Pages Plugin | 0.9 | 2015/4/20 |
| プラグイン | XSS | Aesop Story Engine Plugin | 1.6 | 2015/4/20 |
| プラグイン | CSS上書きの問題 | Crayon Syntax Highlighter Plugin | 2015/4/20 | |
| プラグイン | XSS | Google Analytics by Yoast Plugin | 2015/4/20 | |
| プラグイン | XSS | Ninja Forms Plugin | 2015/4/20 | |
| プラグイン | XSS | Multiple iThemes Plugins and Themes | 2015/4/20 | |
| プラグイン | XSS | Give Plugin | 2015/4/20 | |
| プラグイン | XSS | P3 Profiler Plugin | 1.5.3.8 | 2015/4/20 |
| プラグイン | XSS | My Calendar Plugin | 2015/4/20 | |
| プラグイン | XSS | Barry Kooij Multiple Plugins | 2015/4/20 | |
| プラグイン | XSS | WPTouch Plugin | 3.7.5 | 2015/4/20 |
| プラグイン | XSS | WP-E-Commerce Plugin | 3.9.2 | 2015/4/20 |
| プラグイン | XSS | UpdraftPlus Plugin | 2015/4/20 | |
| プラグイン | XSS | Easy Digital Downloads Multiple Plugins | 2015/4/20 | |
| プラグイン | XSS | Gravity Forms Plugin | 2015/4/20 | |
| プラグイン | XSS | All In one SEO Pack Plugin | 2.2.6.1 | 2015/4/20 |
| プラグイン | XSS | Google Analytics by Yoast Plugin | 5.3.3 | 2015/4/20 |
| プラグイン | XSS | WordPress SEO Plugin | 2015/4/20 | |
| プラグイン | XSS | Jetpack Plugin | 2015/4/20 | |
| プラグイン | SQLインジェクション | rtMedia Plugin | 2015/4/21 | |
| プラグイン | XSS | rtMedia Plugin | 2015/4/21 | |
| プラグイン | SQLインジェクション | rtMedia Plugin | 2015/4/21 | |
| プラグイン | XSS | WP Print Friendly Plugin | 0.6 | 2015/4/21 |
| プラグイン | XSS | church_admin Plugin | 2015/4/21 | |
| プラグイン | XSS | WP-Spreadplugin Plugin | 2015/4/21 | |
| プラグイン | XSS | PressBooks Textbook Plugin | 1.2.5 | 2015/4/21 |
| プラグイン | XSS | CampTix Network Tools Plugin | 0.1 | 2015/4/21 |
| プラグイン | XSS | CMS Tree Page View Plugin | 2015/4/21 | |
| プラグイン | リモートファイルアップロード | MiwoFTP Plugin | 2015/4/21 | |
| プラグイン | SQLインジェクション | NEX-Forms Plugin | 2015/4/21 | |
| 本体 | XSS | WordPress | 4.1.1 | 2015/4/21 |
| 本体 | ファイルアップロード | WordPress | 4.1.1 | 2015/4/21 |
| 本体 | XSS | WordPress | 4.1.1 | 2015/4/21 |
| プラグイン | リストの漏洩 | MailChimp Subscribe Form Plugin | 2015/4/21 | |
| プラグイン | RCE | MailChimp Subscribe Form Plugin | 2015/4/21 | |
| プラグイン | XSS | MailChimp Subscribe Form Plugin | 2015/4/21 | |
| プラグイン | SQLインジェクション | Ultimate Product Catalogue Plugin | 2015/4/22 | |
| プラグイン | SQLインジェクション | Ultimate Product Catalogue Plugin | 2015/4/22 | |
| プラグイン | CSRF | White Label CMS Plugin | 2015/4/22 | |
| プラグイン | XSS | WooFramework Branding Plugin | 1.0.1 | 2015/4/22 |
| プラグイン | XSS | WooFramework Tweaks Plugin | 1.0.1 | 2015/4/22 |
| プラグイン | XSS | Subscribe & Connect Plugin | 1.0.1 | 2015/4/22 |
| プラグイン | XSS | Icons for Features Plugin | 1.0.0 | 2015/4/22 |
| プラグイン | XSS | WooSidebars Sidebar Manager Converter Plugin | 1.1.1 | 2015/4/22 |
| プラグイン | XSS | WooSidebars Plugin | 1.4.1 | 2015/4/22 |
| プラグイン | SQLインジェクション | Ultimate Product Catalogue Plugin | 2015/4/22 | |
| プラグイン | RCE | Ultimate Product Catalogue Plugin | 2015/4/22 | |
| プラグイン | 不特定の欠陥 | WP Buddy Comment Rating Plugin | 2015/4/23 | |
| プラグイン | リモートでの情報漏洩 | Slideshow Plugin | 2015/4/23 | |
| テーマ | XSS | WooFramework Theme | 2015/4/23 | |
| プラグイン | リモートファイルアップロード | Ultimate Product Catalogue Plugin | 2015/4/24 | |
| プラグイン | CSRF | Ultimate Product Catalogue Plugin | 2015/4/24 | |
| プラグイン | XSS | Ultimate Product Catalogue Plugin | 2015/4/24 | |
| プラグイン | XSS | WP User Avatar Plugin | 2015/4/24 | |
| プラグイン | XSS | WP Google Map Plugin | 2015/4/24 | |
| プラグイン | RCE | Premium SEO Pack Plugin | 2015/4/24 | |
| プラグイン | XSS | Collapse-O-Matic Plugin | 1.6.8 | 2015/4/25 |
| プラグイン | XSS | CoursePress Plugin | 1.2.5.2 | 2015/4/25 |
| プラグイン | XSS | Theater Plugin | 2015/4/25 | |
| プラグイン | XSS | Disclaimer and Notification Manager for Authors Plugin | 1.0 | 2015/4/25 |
| プラグイン | CSRF | WPS Hide Login Plugin | 1.0 | 2015/4/26 |
| プラグイン | XSS | FeedWordPress Plugin | 2015/4/26 | |
| プラグイン | RCE | WooCommerce Amazon Affiliates Plugin | 2015/4/27 | |
| 本体 | XSS | WordPress | 4.2, 4.1.2, 3.9.3 | 2015/4/27 |
| プラグイン | XSS | Broken Link Checker Plugin | 2015/4/28 | |
| テーマ | XSS | Exquisite – Ultimate Newspaper Theme | 2015/4/28 | |
| プラグイン | XSS | Ultimate Product Catalogue Plugin | 2015/4/29 | |
| プラグイン | XSS | WP Photo Album Plus Plugin | 2015/4/29 | |
| プラグイン | XSS | Nonprofit Board Management Plugin | 1.1.2 | 2015/4/29 |
| プラグイン | XSS | Improved Save Button Plugin | 1.0 | 2015/4/30 |