Pocket

WordPress 2015年7月_脆弱性集計  2015/8/6

2015年7月度のWordPressに関する脆弱性レポートをお知らせします。

7月度全体の脆弱性報告件数としては86件でした。6月度より34件増加しております。

個所別レポート

個所別の発生件数は、それぞれ本体で1件、テーマも3件、プラグインが82件でした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

また、今月も先月と同様に本体に脆弱性が発生しました。プラグインの数は先月と比べて増加しております。
テーマに関しましても先月と同様に脆弱性情報が複数発生しました。

トピックス

本体に1件脆弱性が発生しました。バージョン4.2.2以下にXSS(クロスサイトスクリプティング)に関する脆弱性が発生しております。

対策版に関しましては各バージョンによって異なり、3.7.9、3.8.9、3.9.7、4.0.6、4.1.6、4.2.3になるのですが、すでにそのバージョンにて別の脆弱性が発生しておりますので最新バージョンである3.7.10、3.8.10、3.9.8、4.0.7、4.1.7、4.2.4(2015年8月6日現在)へのアップデートを推奨します。ブログでも書かせていた頂いておりますので併せてご覧ください。

 

テーマに関しましても3件の脆弱性が発見されております。内容はXSS等です。

 

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、総累計数110万ダウンロード以上、アクティブインストール30万以上されている人気のプラグインである『InfiniteWP Client』に脆弱性が発生しております。

これは複数のサイトを一元管理できるプラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年8月6日時点での最新バージョンは1.3.16となっております)

 

また、こちらもブログでも速報を書かせて頂きました通り、総累計数150万ダウンロード以上、アクティブインストール10万以上のプラグイン『WP Slimstat』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。これはリアルタイムにアクセス解析ができるプラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年8月6日時点での最新バージョンは4.1.6.1となっております)

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

  • Ninja Forms PluginにてXSS
  • Slider Revolution PluginにてXSS
  • Subscribe to Comments PluginにてLFI
  • WordPress Download Manager PluginにてXSS
  • Welcart PluginにてXSSとSQLインジェクション 2件

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで37件、2位がLFIで12件、3位がSQLインジェクションで11件でした。

トピックス

6月度と比較して、脆弱性の総数が増加したことに合わせてXSS、LFI、SQLインジェクションとCSRFが軒並み増加しました。

脆弱性一覧

2015年7月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2015年7月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer. 発見日
プラグイン UPLOAD Powerplay Gallery 3.3 2015/7/1
プラグイン SQLインジェクション Powerplay Gallery 3.3 2015/7/1
プラグイン DOS Simple Ads Manager 2.9.3.114 2015/7/2
プラグイン CSRF Albo Pretorio Online 3.2 2015/7/3
プラグイン XSS Albo Pretorio Online 3.2 2015/7/3
プラグイン LFI Swim Team 1.44.10777 2015/7/3
プラグイン UPLOAD WordPress File Upload 2.7.6 2015/7/3
プラグイン BYPASS WordPress File Upload 2.7.6 2015/7/3
プラグイン CSRF WordPress File Upload 2.7.6 2015/7/3
プラグイン XSS WordPress File Upload 2.7.6 2015/7/3
プラグイン XSS Ninja Forms 2.9.18 2015/7/5
プラグイン SQLインジェクション Easy2Map 1.24 2015/7/5
プラグイン LFI MDC YouTube Downloader 2.1.0 2015/7/5
プラグイン REDIRECT StageShow 5.0.8 2015/7/5
プラグイン SQLインジェクション Albo Pretorio Online 3.2 2015/7/5
プラグイン LFI WP e-Commerce Shop Styling 2.5 2015/7/6
プラグイン SQLインジェクション Easy2Map Photos 1.0.9 2015/7/6
プラグイン RCE Custom Content Type Manager 0.9.8.5 2015/7/6
テーマ FPD Vulcan   2015/7/6
テーマ XSS Vulcan   2015/7/6
テーマ DOS Vulcan   2015/7/6
プラグイン XSS NewStatPress 1.0.4 2015/7/7
プラグイン SQLインジェクション NewStatPress 1.0.4 2015/7/7
プラグイン UNKNOWN InfiniteWP Client 1.3.14 2015/7/8
プラグイン XSS YOP Poll 5.7.3 2015/7/8
プラグイン LFI S3Bubble Cloud Video With Adverts & Analytics 0.7 2015/7/8
プラグイン XSS GD bbPress Attachments 2.2 2015/7/9
プラグイン LFI GD bbPress Attachments 2.2 2015/7/9
プラグイン UPLOAD ACF Frontend display 2.0.5 2015/7/9
プラグイン LFI S3Bubble Amazon S3 Video And Audio Streaming With Analytics 2.0 2015/7/9
プラグイン UPLOAD Fast Image Adder 1.1 2015/7/11
プラグイン LFI IBS Mappro 0.6 2015/7/11
プラグイン UPLOAD MailCWP 1.99 2015/7/11
プラグイン CSRF CP Contact Form with Paypal 1.1.5 2015/7/11
プラグイン XSS CP Contact Form with Paypal 1.1.5 2015/7/11
プラグイン SQLインジェクション CP Contact Form with Paypal 1.1.5 2015/7/11
プラグイン SQLインジェクション CP Multi View Event Calendar 1.1.7 2015/7/12
プラグイン BYPASS CP Image Store with Slideshow 1.0.6 2015/7/13
プラグイン LFI CP Image Store with Slideshow 1.0.5 2015/7/13
プラグイン UPLOAD WP Front-End Repository 1.1 2015/7/14
プラグイン LFI Candidate Application Form 1.0 2015/7/14
プラグイン XSS Floating Social Bar 1.1.5 2015/7/14
プラグイン XSS Plotly 1.0.2 2015/7/14
プラグイン LFI Image Export 1.1.0 2015/7/14
プラグイン XSS Eventbrite Tickets 3.9.6 2015/7/14
プラグイン BYPASS WP Attachment Export 0.2.3 2015/7/15
プラグイン LFI Subscribe to Comments 2.1.2 2015/7/15
プラグイン CSRF BuddyPress Activity Plus 1.5 2015/7/15
プラグイン BYPASS WP Backitup 1.9.1 2015/7/16
プラグイン XSS WordPress Download Manager 2.7.94 2015/7/16
プラグイン BYPASS WordPress Mobile Pack 2.1.2 2015/7/20
プラグイン LFI wptf-image-gallery 1.0.3 2015/7/20
プラグイン CSRF Portfolio 1.0 2015/7/21
本体 XSS WordPress 4.2.2 2015/7/23
プラグイン SQLインジェクション Count Per Day 3.4 2015/7/23
プラグイン XSS Paid Memberships Pro 1.8.4.2 2015/7/23
プラグイン XSS Welcart e-Commerce 1.4.17 2015/7/25
プラグイン SQLインジェクション Welcart e-Commerce 1.4.17 2015/7/25
プラグイン CSRF Unite Gallery Lite 1.4.6 2015/7/25
プラグイン SQLインジェクション Unite Gallery Lite 1.4.6 2015/7/25
プラグイン REDIRECT Music Store 1.0.14 2015/7/25
プラグイン XSS WP Slimstat 4.1.5.2 2015/7/26
プラグイン SQLインジェクション WP Statistics 9.4 2015/7/26
プラグイン XSS WP Flash Player 1.3 2015/7/26
プラグイン XSS Flickr Justified Gallery 3.3.6 2015/7/28
プラグイン XSS Facebook, Twitter & Google+ Social Widgets 1.3.7 2015/7/28
プラグイン XSS Advanced Categorizer 0.3 2015/7/28
プラグイン XSS qTranslate 2.5.39 2015/7/29
プラグイン XSS Hide My WP 4.51.1 2015/7/29
プラグイン CSRF Google Plus one Button by KMS 1.5.0 2015/7/29
プラグイン XSS Google Plus one Button by KMS 1.5.0 2015/7/29
プラグイン XSS Ads In Bottom Right 1.0 2015/7/29
プラグイン XSS Author Manager 1.0 2015/7/29
プラグイン XSS 1-click Retweet/Share/Like 5.2 2015/7/29
プラグイン XSS Chief Editor 3.6.1 2015/7/29
プラグイン XSS Advertisement Management 1.0 2015/7/30
プラグイン XSS Content Grabber 1.0 2015/7/30
プラグイン XSS Default Facebook Thumbnails 0.4 2015/7/30
プラグイン XSS arcResBookingWidget 1.0 2015/7/30
プラグイン XSS Altos Connect Widget 1.3.0 2015/7/30
プラグイン XSS The Holiday Calendar 1.11.2 2015/7/30
プラグイン XSS Admin Pack by SITE CASEIRO 1.1 2015/7/30
プラグイン XSS Customize Youtube Videos 0.2 2015/7/30
プラグイン XSS Copy or Move Comments 1.0.0 2015/7/30
プラグイン XSS WP Accurate Form Data 1.2 2015/7/31
プラグイン CSRF WP Accurate Form Data 1.2 2015/7/31


https://wp.kyubi.jp/