WordPress 2015年6月_脆弱性集計 2015/7/10
2015年6月度のWordPressに関する脆弱性レポートをお知らせします。
6月度全体の脆弱性報告件数としては52件でした。5月度より17件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体で1件、テーマも6件、プラグインが45件でした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。
また、今月も先月と同様に本体に脆弱性が発生しました。プラグインの数は先月と比べて減少しております。
テーマに関しましても先月と同様に脆弱性情報が複数発生しました。
トピックス
本体に1件脆弱性が発生しました。バージョン4.1と4.1.1にファイルアップロードに関する脆弱性が発生し、対策版に関しましては4.1.2になるのですが、すでにそのバージョンにて別の脆弱性が発生しておりますので最新バージョンである4.2.2(2015年7月10日現在)へのアップデートを推奨します。
テーマに関しましても6件の脆弱性が発見されております。脆弱性の内容はXSSやRCEです。脆弱性対策版が出ていないテーマもございますのでご利用の方は是非ご確認下さい。
プラグインに関しましては、ブログでも速報を書かせて頂きました通り、総累計数1900万ダウンロード以上されている超有名なWordPressのSEOプラグインである『WordPress SEO by Yoast』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年7月10日時点での最新バージョンは2.2.1となっております)
他には、こちらもブログでも速報を書かせて頂きました通り、総累計数370万ダウンロード以上されているリンク切れを起こしていないかチェックしてくれる便利なプラグイン『Broken Link Checker』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年7月10日時点での最新バージョンは1.10.9となっております)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Nextend Facebook Connect PluginにてXSS
- XCloner – Backup and Restore PluginにてXSSとCE 2件
- WP-CopyProtect PluginにてCSRFとXSS 2件
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで22件、2位がLFIで9件、3位がCSRFで7件でした。
トピックス
5月度と比較して、脆弱性の総数が減少したことに合わせてXSS、SQLインジェクションとCSRFが減少しました。その中でもSQLインジェクションは大きく減少しております。
ただ一方でLFIに関する脆弱性情報は増加しました。
脆弱性一覧
2015年6月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2015年6月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. | 発見日 |
| プラグイン | UPLOAD | dzs-zoomsounds | 2.0 | 2015/6/1 |
| プラグイン | SQLインジェクション | LeagueManager | 3.9.11 | 2015/6/2 |
| プラグイン | XSS | Simple Share Buttons Adder | 6.0.0 | 2015/6/2 |
| プラグイン | XSS | WordPress Backup to Dropbox | 4.0 | 2015/6/2 |
| プラグイン | XSS | XCloner – Backup and Restore | 3.1.2 | 2015/6/2 |
| プラグイン | RCE | XCloner – Backup and Restore | 3.1.2 | 2015/6/2 |
| プラグイン | LFI | N-Media Website Contact Form with File Upload | 1.5 | 2015/6/3 |
| プラグイン | LFI | zM Ajax Login and Register | 1.0.9 | 2015/6/4 |
| プラグイン | XSS | zM Ajax Login and Register | 1.0.9 | 2015/6/4 |
| プラグイン | SQLインジェクション | Users Ultra | 1.5.15 | 2015/6/7 |
| プラグイン | XSS | Greg’s High Performance SEO | 1.6.1 | 2015/6/8 |
| プラグイン | LFI | SE HTML5 Album Audio Player | 1.1.0 | 2015/6/8 |
| プラグイン | XSS | Page Builder by SiteOrigin | 2.0.3 | 2015/6/8 |
| プラグイン | LFI | Really Simple Guest Post Plugin | 1.0.6 | 2015/6/9 |
| プラグイン | LFI | WP Mobile Edition | 2.2.7 | 2015/6/9 |
| プラグイン | XSS | addthis | 4.0.6-5.0.2 | 2015/6/10 |
| プラグイン | LFI | History Collection | 1.1.1 | 2015/6/10 |
| プラグイン | XXE | WooCommerce | 2.0.20-2.3.10 | 2015/6/10 |
| プラグイン | UPLOAD | N-Media File Uploader | 3.7 | 2015/6/11 |
| プラグイン | BYPASS | Paypal Currencucy Converter Basic For Woocommerce | 1.3 | 2015/6/11 |
| プラグイン | LFI | RobotCPA | 2015/6/11 | |
| 本体 | UPLOAD | WordPress | 4.1 – 4.1.1 | 2015/6/11 |
| プラグイン | XSS | WordPress SEO by Yoast | 2.1.1 | 2015/6/12 |
| プラグイン | CSRF | Users to CSV | 1.4.5 | 2015/6/15 |
| プラグイン | BYPASS | Zip Attachments | 1.1.4 | 2015/6/15 |
| テーマ | XSS | Salient Theme | 4.9 | 2015/6/16 |
| プラグイン | XSS | WP-Stats | 2.51 | 2015/6/17 |
| プラグイン | CSRF | WP-Stats | 2.51 | 2015/6/17 |
| プラグイン | XSS | Erident Custom Login and Dashboard | 3.4-3.4.1 | 2015/6/18 |
| プラグイン | XSS | Ultimate Member | 1.2.98-1.2.994 | 2015/6/18 |
| テーマ | XSS | Salem Theme | 1.5.5 | 2015/6/18 |
| プラグイン | CSRF | WP Smiley | 1.4.1 | 2015/6/19 |
| プラグイン | XSS | WP Smiley | 1.4.1 | 2015/6/19 |
| プラグイン | CSRF | Google Analyticator | 6.4.9.3 | 2015/6/21 |
| プラグイン | XSS | Nextend Facebook Connect | 1.5.4 | 2015/6/24 |
| プラグイン | XSS | Nextend Twitter Connect | 1.5.1 | 2015/6/24 |
| プラグイン | LFI | wp-instance-rename | 1.0 | 2015/6/24 |
| プラグイン | CSRF | Erident Custom Login and Dashboard | 3.4.1 | 2015/6/25 |
| プラグイン | XSS | WordPress Landing Pages | 1.8.7 | 2015/6/25 |
| プラグイン | XSS | WP Mobile Detector | 3.2 | 2015/6/25 |
| テーマ | RCE | Simpolio | 1.3.2 | 2015/6/26 |
| テーマ | RCE | Pont | 1.5 | 2015/6/26 |
| テーマ | RCE | Teardrop | 1.8.1 | 2015/6/26 |
| テーマ | RCE | Vernissage | 1.2.8 | 2015/6/26 |
| プラグイン | LFI | download-zip-attachments | 1.0 | 2015/6/28 |
| プラグイン | XSS | WP Rollback | 1.2.2 | 2015/6/28 |
| プラグイン | CSRF | WP Rollback | 1.2.2 | 2015/6/28 |
| プラグイン | XSS | Broken Link Checker | 1.10.8 | 2015/6/29 |
| プラグイン | UPLOAD | N-Media File Uploader | 3.7 | 2015/6/29 |
| プラグイン | XSS | NewStatPress | 1.0.3 | 2015/6/30 |
| プラグイン | XSS | WP-CopyProtect | 3.0.0 | 2015/6/30 |
| プラグイン | CSRF | WP-CopyProtect | 3.0.0 | 2015/6/30 |