WordPress 2015年5月_脆弱性集計 2015/6/9
2015年5月度のWordPressに関する脆弱性レポートをお知らせします。
5月度全体の脆弱性報告件数としては69件でした。4月度より84件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体で1件、テーマも4件、プラグインが64件でした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。
また、今月も先月と同様に本体に脆弱性が発生しました。プラグインの数は先月と比べて減少しております。
テーマに関しましても先月と同様に脆弱性情報が複数発生しました。
トピックス
本体に1件脆弱性が発生しました。バージョン4.2にXSSが発生し、対策版であるバージョン4.2.2がリリースされました。ブログでも書かせていた頂いておりますので併せてご覧ください。
(タイトル:WordPress、バージョン4.2.2へ緊急セキュリティアップデート実施)
(※2015年6月9日時点での最新バージョンも4.2.2となっております)
テーマに関しましても4件の脆弱性が発見されております。内容はXSSや情報漏えいに関する脆弱性です。
プラグインに関しましては、ブログでも速報を書かせて頂きました通り、30万ダウンロード以上されている超有名なWordPressの「関連のある記事」を表示させる『Yet Another Related Posts Plugin (YARPP)』にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年6月9日時点での最新バージョンは4.2.5となっております)
他には、こちらもブログでも速報を書かせて頂きました通り、10万ダウンロード以上されているセキュリティプラグイン『Anti-Malware and Brute-Force Security by ELI』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年6月9日時点での最新バージョンは4.15.26となっております)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- WP Photo Album Plus PluginにてSQLインジェクションとXSS 2件
- XCloner – Backup and Restore PluginにてXSSとCE 2件
- Contact Form to Email PluginにてCSRFとXSS 2件
- My Calendar Pluginにてファイルの上書き 1件
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで25件、2位がSQLインジェクションで16件、3位がCSRFで10件でした。
トピックス
4月度と比較して、脆弱性の総数が減少したことに合わせてXSS、SQLインジェクションとCSRFが軒並み減少しました。その中でもXSSは大きく減少しております。
この一要因としては4月下旬に発生したWordPressの関数を不適切に利用していることに起因する脆弱性が、一気に多数のプラグインに発見されており、そういった原因が5月に発生しなかったことだと推測できます。
脆弱性一覧
2015年5月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2015年5月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. | 発見日 |
| プラグイン | XSS | Easy Property Listings Plugin | 2.1.5 | 2015/5/1 |
| プラグイン | XSS | Gravity Forms DPS PxPay Plugin | 1..4.2 | 2015/5/1 |
| テーマ | XSS | Weekly News Theme | 2015/5/3 | |
| プラグイン | XSS | SendinBlue Subscribe Form And WP SMTP Plugin | 2.3.13 | 2015/5/4 |
| プラグイン | SQLインジェクション | Pie Register Plugin | 2.0.15 | 2015/5/4 |
| プラグイン | 認証バイパスの要求処理 | Pie Register Plugin | 2.0.15 | 2015/5/4 |
| プラグイン | SQLインジェクション | Simple Photo Gallery Plugin | 1.7.9 | 2015/5/5 |
| プラグイン | SQLインジェクション | Simple Photo Gallery Plugin | 1.7.9 | 2015/5/5 |
| プラグイン | SQLインジェクション | Simple Photo Gallery Plugin | 1.7.9 | 2015/5/5 |
| プラグイン | SQLインジェクション | Simple Photo Gallery Plugin | 1.7.9 | 2015/5/5 |
| プラグイン | SQLインジェクション | Simple Photo Gallery Plugin | 1.7.9 | 2015/5/5 |
| プラグイン | 不特定の欠陥 | WP Ultimate CSV Importer Plugin | 2015/5/5 | |
| プラグイン | XSS | Simplr Registration Form Plus Plugin | 1.3.3 | 2015/5/6 |
| プラグイン | XSS | Simplr Registration Form Plus Plugin | 1.3.3 | 2015/5/6 |
| プラグイン | SQLインジェクション | Freshmail Plugin | 1.4 | 2015/5/6 |
| プラグイン | SQLインジェクション | Freshmail Plugin | 1.4 | 2015/5/6 |
| テーマ | XSS | Genericons | 2015/5/6 | |
| プラグイン | SQLインジェクション | WP Photo Album Plus Plugin | 2015/5/7 | |
| プラグイン | SQLインジェクション | Blubrry PowerPress Podcasting Plugin | 6.0.2 | 2015/5/7 |
| プラグイン | CSRF | Yet Another Related Posts Plugin | 2015/5/7 | |
| プラグイン | CSRF | Ad Buttons Plugin | 2015/5/7 | |
| プラグイン | CSRF | ClickBank Affiliate Ads Plugin | 2015/5/7 | |
| プラグイン | CSRF | Ad Inserter Plugin | 2015/5/7 | |
| プラグイン | CSRF | Embed-Articles Plugin | 2015/5/7 | |
| 本体 | XSS | WordPress | 4.2 | 2015/5/7 |
| プラグイン | SQLインジェクション | Amazon Product in a Post Plugin | 2015/5/8 | |
| プラグイン | XSS | Anti-Malware and Brute-Force Security by ELI Plugin | 2015/5/8 | |
| プラグイン | XSS | Front End PM Plugin | 2015/5/9 | |
| プラグイン | XSS | My Calendar Plugin | 2015/5/11 | |
| プラグイン | リモートでのファイルの上書き | My Calendar Plugin | 2015/5/11 | |
| プラグイン | CSRF | Inline Google Spreadsheet Viewer Plugin | 2015/5/11 | |
| プラグイン | 複数のアクション呼び出し | Media File Manager Advanced Plugin | 2015/5/13 | |
| プラグイン | 不特定の欠陥 | WP Symposium Plugin | 2015/5/13 | |
| プラグイン | XSS | Post Lists View Custom Plugin | 1.7.1 | 2015/5/13 |
| プラグイン | XSS | Media File Manager Advanced Plugin | 2015/5/13 | |
| プラグイン | SQLインジェクション | Media File Manager Advanced Plugin | 2015/5/13 | |
| プラグイン | 複数のアクション呼び出し | Media File Manager Advanced Plugin | 2015/5/13 | |
| プラグイン | 不特定の欠陥 | WP First Letter Avatar Plugin | 1.2.7 | 2015/5/14 |
| プラグイン | SQLインジェクション | FeedWordPress Plugin | 2015/5/14 | |
| プラグイン | XSS | WP Fast Cache Plugin | 2015/5/14 | |
| プラグイン | CSRF | Contact Form to Email Plugin | 1.1.4 | 2015/5/14 |
| プラグイン | XSS | Contact Form to Email Plugin | 1.1.4 | 2015/5/14 |
| プラグイン | XSS | Ditty News Ticker Plugin | 1.5.1 | 2015/5/15 |
| プラグイン | CSRF | Pinterest Hover Pin It Button Plugin | 0.9 | 2015/5/17 |
| プラグイン | バックアップファイル漏えい | Acunetix WP Security Plugin | 2015/5/18 | |
| テーマ | リモート情報漏えい | Multiple ThemeMakers themes | 2015/5/18 | |
| プラグイン | バックアップファイル漏えい | Snapshot Pro Plugin | 2015/5/18 | |
| プラグイン | バックアップファイル漏えい | Backupbuddy Plugin | 2015/5/18 | |
| プラグイン | XSS | Anti-Malware and Brute-Force Security by ELI Plugin | 2015/5/18 | |
| プラグイン | パストラバーサル | Simple Backup Plugin | 2015/5/19 | |
| プラグイン | SQLインジェクション | GigPress Plugin | 2.3.8 | 2015/5/20 |
| プラグイン | CSRF | wow-moodboard-lite Plugin | 2015/5/20 | |
| プラグイン | XSS | WP Membership Plugin | 2015/5/21 | |
| プラグイン | リモート特権昇格 | WP Membership Plugin | 2015/5/21 | |
| プラグイン | XSS | WP Membership Plugin | 2015/5/21 | |
| プラグイン | リモートモデレーションバイパス | WP Membership Plugin | 2015/5/21 | |
| プラグイン | XSS | WP Photo Album Plus plugin | 6.1.2 | 2015/5/21 |
| プラグイン | メールページの無保護 | Video Gallery plugin | 2.8 | 2015/5/22 |
| テーマ | ファイル漏えい | Estrutura-Basica themes | 2015/5/25 | |
| プラグイン | RCE | MailChimp Subscribe Forms plugin | 1.1 | 2015/5/25 |
| プラグイン | XSS | Church Admin plugin | 0.800 | 2015/5/25 |
| プラグイン | XSS | NewStatPress plugin | 0.9.8 | 2015/5/25 |
| プラグイン | SQLインジェクション | NewStatPress plugin | 0.9.8 | 2015/5/25 |
| プラグイン | SQLインジェクション | Landing Pages plugin | 1.8.4 | 2015/5/25 |
| プラグイン | XSS | Landing Pages plugin | 1.8.4 | 2015/5/25 |
| プラグイン | CSRF | WP Fast Cache Plugin | 1.4 | 2015/5/27 |
| プラグイン | XSS | Free Counter plugin | 1.1 | 2015/5/27 |
| プラグイン | コマンド実行 | XCloner plugin | 3.1.2 | 2015/5/31 |
| プラグイン | XSS | XCloner plugin | 3.1.2 | 2015/5/31 |