Pocket

WordPress 2015年5月_脆弱性集計  2015/6/9

2015年5月度のWordPressに関する脆弱性レポートをお知らせします。

5月度全体の脆弱性報告件数としては69件でした。4月度より84件減少しております。

個所別レポート

個所別の発生件数は、それぞれ本体で1件、テーマも4件、プラグインが64件でした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

また、今月も先月と同様に本体に脆弱性が発生しました。プラグインの数は先月と比べて減少しております。
テーマに関しましても先月と同様に脆弱性情報が複数発生しました。

トピックス

本体に1件脆弱性が発生しました。バージョン4.2にXSSが発生し、対策版であるバージョン4.2.2がリリースされました。ブログでも書かせていた頂いておりますので併せてご覧ください。
(タイトル:WordPress、バージョン4.2.2へ緊急セキュリティアップデート実施
(※2015年6月9日時点での最新バージョンも4.2.2となっております)

テーマに関しましても4件の脆弱性が発見されております。内容はXSSや情報漏えいに関する脆弱性です。

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、30万ダウンロード以上されている超有名なWordPressの「関連のある記事」を表示させる『Yet Another Related Posts Plugin (YARPP)』にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年6月9日時点での最新バージョンは4.2.5となっております)

他には、こちらもブログでも速報を書かせて頂きました通り、10万ダウンロード以上されているセキュリティプラグイン『Anti-Malware and Brute-Force Security by ELI』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年6月9日時点での最新バージョンは4.15.26となっております)

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

  • WP Photo Album Plus PluginにてSQLインジェクションとXSS 2件
  • XCloner – Backup and Restore PluginにてXSSとCE 2件
  • Contact Form to Email PluginにてCSRFとXSS 2件
  • My Calendar Pluginにてファイルの上書き 1件

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで25件、2位がSQLインジェクションで16件、3位がCSRFで10件でした。

トピックス

4月度と比較して、脆弱性の総数が減少したことに合わせてXSS、SQLインジェクションとCSRFが軒並み減少しました。その中でもXSSは大きく減少しております。

この一要因としては4月下旬に発生したWordPressの関数を不適切に利用していることに起因する脆弱性が、一気に多数のプラグインに発見されており、そういった原因が5月に発生しなかったことだと推測できます。

脆弱性一覧

2015年5月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2015年5月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer. 発見日
プラグイン XSS Easy Property Listings Plugin 2.1.5 2015/5/1
プラグイン XSS Gravity Forms DPS PxPay Plugin 1..4.2 2015/5/1
テーマ XSS Weekly News Theme 2015/5/3
プラグイン XSS SendinBlue Subscribe Form And WP SMTP Plugin 2.3.13 2015/5/4
プラグイン SQLインジェクション Pie Register Plugin 2.0.15 2015/5/4
プラグイン 認証バイパスの要求処理 Pie Register Plugin 2.0.15 2015/5/4
プラグイン SQLインジェクション Simple Photo Gallery Plugin 1.7.9 2015/5/5
プラグイン SQLインジェクション Simple Photo Gallery Plugin 1.7.9 2015/5/5
プラグイン SQLインジェクション Simple Photo Gallery Plugin 1.7.9 2015/5/5
プラグイン SQLインジェクション Simple Photo Gallery Plugin 1.7.9 2015/5/5
プラグイン SQLインジェクション Simple Photo Gallery Plugin 1.7.9 2015/5/5
プラグイン 不特定の欠陥 WP Ultimate CSV Importer Plugin 2015/5/5
プラグイン XSS Simplr Registration Form Plus Plugin 1.3.3 2015/5/6
プラグイン XSS Simplr Registration Form Plus Plugin 1.3.3 2015/5/6
プラグイン SQLインジェクション Freshmail Plugin 1.4 2015/5/6
プラグイン SQLインジェクション Freshmail Plugin 1.4 2015/5/6
テーマ XSS Genericons 2015/5/6
プラグイン SQLインジェクション WP Photo Album Plus Plugin 2015/5/7
プラグイン SQLインジェクション Blubrry PowerPress Podcasting Plugin 6.0.2 2015/5/7
プラグイン CSRF Yet Another Related Posts Plugin 2015/5/7
プラグイン CSRF Ad Buttons Plugin 2015/5/7
プラグイン CSRF ClickBank Affiliate Ads Plugin 2015/5/7
プラグイン CSRF Ad Inserter Plugin 2015/5/7
プラグイン CSRF Embed-Articles Plugin 2015/5/7
本体 XSS WordPress 4.2 2015/5/7
プラグイン SQLインジェクション Amazon Product in a Post Plugin 2015/5/8
プラグイン XSS Anti-Malware and Brute-Force Security by ELI Plugin 2015/5/8
プラグイン XSS Front End PM Plugin 2015/5/9
プラグイン XSS My Calendar Plugin 2015/5/11
プラグイン リモートでのファイルの上書き My Calendar Plugin 2015/5/11
プラグイン CSRF Inline Google Spreadsheet Viewer Plugin 2015/5/11
プラグイン 複数のアクション呼び出し Media File Manager Advanced Plugin 2015/5/13
プラグイン 不特定の欠陥 WP Symposium Plugin 2015/5/13
プラグイン XSS Post Lists View Custom Plugin 1.7.1 2015/5/13
プラグイン XSS Media File Manager Advanced Plugin 2015/5/13
プラグイン SQLインジェクション Media File Manager Advanced Plugin 2015/5/13
プラグイン 複数のアクション呼び出し Media File Manager Advanced Plugin 2015/5/13
プラグイン 不特定の欠陥 WP First Letter Avatar Plugin 1.2.7 2015/5/14
プラグイン SQLインジェクション FeedWordPress Plugin 2015/5/14
プラグイン XSS WP Fast Cache Plugin 2015/5/14
プラグイン CSRF Contact Form to Email Plugin 1.1.4 2015/5/14
プラグイン XSS Contact Form to Email Plugin 1.1.4 2015/5/14
プラグイン XSS Ditty News Ticker Plugin 1.5.1 2015/5/15
プラグイン CSRF Pinterest Hover Pin It Button Plugin 0.9 2015/5/17
プラグイン バックアップファイル漏えい Acunetix WP Security Plugin 2015/5/18
テーマ リモート情報漏えい Multiple ThemeMakers themes 2015/5/18
プラグイン バックアップファイル漏えい Snapshot Pro Plugin 2015/5/18
プラグイン バックアップファイル漏えい Backupbuddy Plugin 2015/5/18
プラグイン XSS Anti-Malware and Brute-Force Security by ELI Plugin 2015/5/18
プラグイン パストラバーサル Simple Backup Plugin 2015/5/19
プラグイン SQLインジェクション GigPress Plugin 2.3.8 2015/5/20
プラグイン CSRF wow-moodboard-lite Plugin 2015/5/20
プラグイン XSS WP Membership Plugin 2015/5/21
プラグイン リモート特権昇格 WP Membership Plugin 2015/5/21
プラグイン XSS WP Membership Plugin 2015/5/21
プラグイン リモートモデレーションバイパス WP Membership Plugin 2015/5/21
プラグイン XSS WP Photo Album Plus plugin 6.1.2 2015/5/21
プラグイン メールページの無保護 Video Gallery plugin 2.8 2015/5/22
テーマ ファイル漏えい Estrutura-Basica themes 2015/5/25
プラグイン RCE MailChimp Subscribe Forms plugin 1.1 2015/5/25
プラグイン XSS Church Admin plugin 0.800 2015/5/25
プラグイン XSS NewStatPress plugin 0.9.8 2015/5/25
プラグイン SQLインジェクション NewStatPress plugin 0.9.8 2015/5/25
プラグイン SQLインジェクション Landing Pages plugin 1.8.4 2015/5/25
プラグイン XSS Landing Pages plugin 1.8.4 2015/5/25
プラグイン CSRF WP Fast Cache Plugin 1.4 2015/5/27
プラグイン XSS Free Counter plugin 1.1 2015/5/27
プラグイン コマンド実行 XCloner plugin 3.1.2 2015/5/31
プラグイン XSS XCloner plugin 3.1.2 2015/5/31

https://wp.kyubi.jp/