Pocket

WordPress 2015年6月_脆弱性集計  2015/7/10

2015年6月度のWordPressに関する脆弱性レポートをお知らせします。

6月度全体の脆弱性報告件数としては52件でした。5月度より17件減少しております。

個所別レポート

個所別の発生件数は、それぞれ本体で1件、テーマも6件、プラグインが45件でした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

また、今月も先月と同様に本体に脆弱性が発生しました。プラグインの数は先月と比べて減少しております。
テーマに関しましても先月と同様に脆弱性情報が複数発生しました。

トピックス

本体に1件脆弱性が発生しました。バージョン4.1と4.1.1にファイルアップロードに関する脆弱性が発生し、対策版に関しましては4.1.2になるのですが、すでにそのバージョンにて別の脆弱性が発生しておりますので最新バージョンである4.2.2(2015年7月10日現在)へのアップデートを推奨します。

 

テーマに関しましても6件の脆弱性が発見されております。脆弱性の内容はXSSやRCEです。脆弱性対策版が出ていないテーマもございますのでご利用の方は是非ご確認下さい。

 

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、総累計数1900万ダウンロード以上されている超有名なWordPressのSEOプラグインである『WordPress SEO by Yoast』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年7月10日時点での最新バージョンは2.2.1となっております)

他には、こちらもブログでも速報を書かせて頂きました通り、総累計数370万ダウンロード以上されているリンク切れを起こしていないかチェックしてくれる便利なプラグイン『Broken Link Checker』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年7月10日時点での最新バージョンは1.10.9となっております)

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

  • Nextend Facebook Connect PluginにてXSS
  • XCloner – Backup and Restore PluginにてXSSとCE 2件
  • WP-CopyProtect PluginにてCSRFとXSS 2件

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで22件、2位がLFIで9件、3位がCSRFで7件でした。

トピックス

5月度と比較して、脆弱性の総数が減少したことに合わせてXSS、SQLインジェクションとCSRFが減少しました。その中でもSQLインジェクションは大きく減少しております。

ただ一方でLFIに関する脆弱性情報は増加しました。

脆弱性一覧

2015年6月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2015年6月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer. 発見日
プラグイン UPLOAD dzs-zoomsounds 2.0 2015/6/1
プラグイン SQLインジェクション LeagueManager 3.9.11 2015/6/2
プラグイン XSS Simple Share Buttons Adder 6.0.0 2015/6/2
プラグイン XSS WordPress Backup to Dropbox 4.0 2015/6/2
プラグイン XSS XCloner – Backup and Restore 3.1.2 2015/6/2
プラグイン RCE XCloner – Backup and Restore 3.1.2 2015/6/2
プラグイン LFI N-Media Website Contact Form with File Upload 1.5 2015/6/3
プラグイン LFI zM Ajax Login and Register 1.0.9 2015/6/4
プラグイン XSS zM Ajax Login and Register 1.0.9 2015/6/4
プラグイン SQLインジェクション Users Ultra 1.5.15 2015/6/7
プラグイン XSS Greg’s High Performance SEO 1.6.1 2015/6/8
プラグイン LFI SE HTML5 Album Audio Player 1.1.0 2015/6/8
プラグイン XSS Page Builder by SiteOrigin 2.0.3 2015/6/8
プラグイン LFI Really Simple Guest Post Plugin 1.0.6 2015/6/9
プラグイン LFI WP Mobile Edition 2.2.7 2015/6/9
プラグイン XSS addthis 4.0.6-5.0.2 2015/6/10
プラグイン LFI History Collection 1.1.1 2015/6/10
プラグイン XXE WooCommerce 2.0.20-2.3.10 2015/6/10
プラグイン UPLOAD N-Media File Uploader 3.7 2015/6/11
プラグイン BYPASS Paypal Currencucy Converter Basic For Woocommerce 1.3 2015/6/11
プラグイン LFI RobotCPA   2015/6/11
本体 UPLOAD WordPress 4.1 – 4.1.1 2015/6/11
プラグイン XSS WordPress SEO by Yoast 2.1.1 2015/6/12
プラグイン CSRF Users to CSV 1.4.5 2015/6/15
プラグイン BYPASS Zip Attachments 1.1.4 2015/6/15
テーマ XSS Salient Theme 4.9 2015/6/16
プラグイン XSS WP-Stats 2.51 2015/6/17
プラグイン CSRF WP-Stats 2.51 2015/6/17
プラグイン XSS Erident Custom Login and Dashboard 3.4-3.4.1 2015/6/18
プラグイン XSS Ultimate Member 1.2.98-1.2.994 2015/6/18
テーマ XSS Salem Theme 1.5.5 2015/6/18
プラグイン CSRF WP Smiley 1.4.1 2015/6/19
プラグイン XSS WP Smiley 1.4.1 2015/6/19
プラグイン CSRF Google Analyticator 6.4.9.3 2015/6/21
プラグイン XSS Nextend Facebook Connect 1.5.4 2015/6/24
プラグイン XSS Nextend Twitter Connect 1.5.1 2015/6/24
プラグイン LFI wp-instance-rename 1.0 2015/6/24
プラグイン CSRF Erident Custom Login and Dashboard 3.4.1 2015/6/25
プラグイン XSS WordPress Landing Pages 1.8.7 2015/6/25
プラグイン XSS WP Mobile Detector 3.2 2015/6/25
テーマ RCE Simpolio 1.3.2 2015/6/26
テーマ RCE Pont 1.5 2015/6/26
テーマ RCE Teardrop 1.8.1 2015/6/26
テーマ RCE Vernissage 1.2.8 2015/6/26
プラグイン LFI download-zip-attachments 1.0 2015/6/28
プラグイン XSS WP Rollback 1.2.2 2015/6/28
プラグイン CSRF WP Rollback 1.2.2 2015/6/28
プラグイン XSS Broken Link Checker 1.10.8 2015/6/29
プラグイン UPLOAD N-Media File Uploader 3.7 2015/6/29
プラグイン XSS NewStatPress 1.0.3 2015/6/30
プラグイン XSS WP-CopyProtect 3.0.0 2015/6/30
プラグイン CSRF WP-CopyProtect 3.0.0 2015/6/30


https://wp.kyubi.jp/