WordPress 2015年7月_脆弱性集計 2015/8/6
2015年7月度のWordPressに関する脆弱性レポートをお知らせします。
7月度全体の脆弱性報告件数としては86件でした。6月度より34件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体で1件、テーマも3件、プラグインが82件でした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。
また、今月も先月と同様に本体に脆弱性が発生しました。プラグインの数は先月と比べて増加しております。
テーマに関しましても先月と同様に脆弱性情報が複数発生しました。
トピックス
本体に1件脆弱性が発生しました。バージョン4.2.2以下にXSS(クロスサイトスクリプティング)に関する脆弱性が発生しております。
対策版に関しましては各バージョンによって異なり、3.7.9、3.8.9、3.9.7、4.0.6、4.1.6、4.2.3になるのですが、すでにそのバージョンにて別の脆弱性が発生しておりますので最新バージョンである3.7.10、3.8.10、3.9.8、4.0.7、4.1.7、4.2.4(2015年8月6日現在)へのアップデートを推奨します。ブログでも書かせていた頂いておりますので併せてご覧ください。
テーマに関しましても3件の脆弱性が発見されております。内容はXSS等です。
プラグインに関しましては、ブログでも速報を書かせて頂きました通り、総累計数110万ダウンロード以上、アクティブインストール30万以上されている人気のプラグインである『InfiniteWP Client』に脆弱性が発生しております。
これは複数のサイトを一元管理できるプラグインです。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年8月6日時点での最新バージョンは1.3.16となっております)
また、こちらもブログでも速報を書かせて頂きました通り、総累計数150万ダウンロード以上、アクティブインストール10万以上のプラグイン『WP Slimstat』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。これはリアルタイムにアクセス解析ができるプラグインです。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年8月6日時点での最新バージョンは4.1.6.1となっております)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Ninja Forms PluginにてXSS
- Slider Revolution PluginにてXSS
- Subscribe to Comments PluginにてLFI
- WordPress Download Manager PluginにてXSS
- Welcart PluginにてXSSとSQLインジェクション 2件
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで37件、2位がLFIで12件、3位がSQLインジェクションで11件でした。
トピックス
6月度と比較して、脆弱性の総数が増加したことに合わせてXSS、LFI、SQLインジェクションとCSRFが軒並み増加しました。
脆弱性一覧
2015年7月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2015年7月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. | 発見日 |
| プラグイン | UPLOAD | Powerplay Gallery | 3.3 | 2015/7/1 |
| プラグイン | SQLインジェクション | Powerplay Gallery | 3.3 | 2015/7/1 |
| プラグイン | DOS | Simple Ads Manager | 2.9.3.114 | 2015/7/2 |
| プラグイン | CSRF | Albo Pretorio Online | 3.2 | 2015/7/3 |
| プラグイン | XSS | Albo Pretorio Online | 3.2 | 2015/7/3 |
| プラグイン | LFI | Swim Team | 1.44.10777 | 2015/7/3 |
| プラグイン | UPLOAD | WordPress File Upload | 2.7.6 | 2015/7/3 |
| プラグイン | BYPASS | WordPress File Upload | 2.7.6 | 2015/7/3 |
| プラグイン | CSRF | WordPress File Upload | 2.7.6 | 2015/7/3 |
| プラグイン | XSS | WordPress File Upload | 2.7.6 | 2015/7/3 |
| プラグイン | XSS | Ninja Forms | 2.9.18 | 2015/7/5 |
| プラグイン | SQLインジェクション | Easy2Map | 1.24 | 2015/7/5 |
| プラグイン | LFI | MDC YouTube Downloader | 2.1.0 | 2015/7/5 |
| プラグイン | REDIRECT | StageShow | 5.0.8 | 2015/7/5 |
| プラグイン | SQLインジェクション | Albo Pretorio Online | 3.2 | 2015/7/5 |
| プラグイン | LFI | WP e-Commerce Shop Styling | 2.5 | 2015/7/6 |
| プラグイン | SQLインジェクション | Easy2Map Photos | 1.0.9 | 2015/7/6 |
| プラグイン | RCE | Custom Content Type Manager | 0.9.8.5 | 2015/7/6 |
| テーマ | FPD | Vulcan | 2015/7/6 | |
| テーマ | XSS | Vulcan | 2015/7/6 | |
| テーマ | DOS | Vulcan | 2015/7/6 | |
| プラグイン | XSS | NewStatPress | 1.0.4 | 2015/7/7 |
| プラグイン | SQLインジェクション | NewStatPress | 1.0.4 | 2015/7/7 |
| プラグイン | UNKNOWN | InfiniteWP Client | 1.3.14 | 2015/7/8 |
| プラグイン | XSS | YOP Poll | 5.7.3 | 2015/7/8 |
| プラグイン | LFI | S3Bubble Cloud Video With Adverts & Analytics | 0.7 | 2015/7/8 |
| プラグイン | XSS | GD bbPress Attachments | 2.2 | 2015/7/9 |
| プラグイン | LFI | GD bbPress Attachments | 2.2 | 2015/7/9 |
| プラグイン | UPLOAD | ACF Frontend display | 2.0.5 | 2015/7/9 |
| プラグイン | LFI | S3Bubble Amazon S3 Video And Audio Streaming With Analytics | 2.0 | 2015/7/9 |
| プラグイン | UPLOAD | Fast Image Adder | 1.1 | 2015/7/11 |
| プラグイン | LFI | IBS Mappro | 0.6 | 2015/7/11 |
| プラグイン | UPLOAD | MailCWP | 1.99 | 2015/7/11 |
| プラグイン | CSRF | CP Contact Form with Paypal | 1.1.5 | 2015/7/11 |
| プラグイン | XSS | CP Contact Form with Paypal | 1.1.5 | 2015/7/11 |
| プラグイン | SQLインジェクション | CP Contact Form with Paypal | 1.1.5 | 2015/7/11 |
| プラグイン | SQLインジェクション | CP Multi View Event Calendar | 1.1.7 | 2015/7/12 |
| プラグイン | BYPASS | CP Image Store with Slideshow | 1.0.6 | 2015/7/13 |
| プラグイン | LFI | CP Image Store with Slideshow | 1.0.5 | 2015/7/13 |
| プラグイン | UPLOAD | WP Front-End Repository | 1.1 | 2015/7/14 |
| プラグイン | LFI | Candidate Application Form | 1.0 | 2015/7/14 |
| プラグイン | XSS | Floating Social Bar | 1.1.5 | 2015/7/14 |
| プラグイン | XSS | Plotly | 1.0.2 | 2015/7/14 |
| プラグイン | LFI | Image Export | 1.1.0 | 2015/7/14 |
| プラグイン | XSS | Eventbrite Tickets | 3.9.6 | 2015/7/14 |
| プラグイン | BYPASS | WP Attachment Export | 0.2.3 | 2015/7/15 |
| プラグイン | LFI | Subscribe to Comments | 2.1.2 | 2015/7/15 |
| プラグイン | CSRF | BuddyPress Activity Plus | 1.5 | 2015/7/15 |
| プラグイン | BYPASS | WP Backitup | 1.9.1 | 2015/7/16 |
| プラグイン | XSS | WordPress Download Manager | 2.7.94 | 2015/7/16 |
| プラグイン | BYPASS | WordPress Mobile Pack | 2.1.2 | 2015/7/20 |
| プラグイン | LFI | wptf-image-gallery | 1.0.3 | 2015/7/20 |
| プラグイン | CSRF | Portfolio | 1.0 | 2015/7/21 |
| 本体 | XSS | WordPress | 4.2.2 | 2015/7/23 |
| プラグイン | SQLインジェクション | Count Per Day | 3.4 | 2015/7/23 |
| プラグイン | XSS | Paid Memberships Pro | 1.8.4.2 | 2015/7/23 |
| プラグイン | XSS | Welcart e-Commerce | 1.4.17 | 2015/7/25 |
| プラグイン | SQLインジェクション | Welcart e-Commerce | 1.4.17 | 2015/7/25 |
| プラグイン | CSRF | Unite Gallery Lite | 1.4.6 | 2015/7/25 |
| プラグイン | SQLインジェクション | Unite Gallery Lite | 1.4.6 | 2015/7/25 |
| プラグイン | REDIRECT | Music Store | 1.0.14 | 2015/7/25 |
| プラグイン | XSS | WP Slimstat | 4.1.5.2 | 2015/7/26 |
| プラグイン | SQLインジェクション | WP Statistics | 9.4 | 2015/7/26 |
| プラグイン | XSS | WP Flash Player | 1.3 | 2015/7/26 |
| プラグイン | XSS | Flickr Justified Gallery | 3.3.6 | 2015/7/28 |
| プラグイン | XSS | Facebook, Twitter & Google+ Social Widgets | 1.3.7 | 2015/7/28 |
| プラグイン | XSS | Advanced Categorizer | 0.3 | 2015/7/28 |
| プラグイン | XSS | qTranslate | 2.5.39 | 2015/7/29 |
| プラグイン | XSS | Hide My WP | 4.51.1 | 2015/7/29 |
| プラグイン | CSRF | Google Plus one Button by KMS | 1.5.0 | 2015/7/29 |
| プラグイン | XSS | Google Plus one Button by KMS | 1.5.0 | 2015/7/29 |
| プラグイン | XSS | Ads In Bottom Right | 1.0 | 2015/7/29 |
| プラグイン | XSS | Author Manager | 1.0 | 2015/7/29 |
| プラグイン | XSS | 1-click Retweet/Share/Like | 5.2 | 2015/7/29 |
| プラグイン | XSS | Chief Editor | 3.6.1 | 2015/7/29 |
| プラグイン | XSS | Advertisement Management | 1.0 | 2015/7/30 |
| プラグイン | XSS | Content Grabber | 1.0 | 2015/7/30 |
| プラグイン | XSS | Default Facebook Thumbnails | 0.4 | 2015/7/30 |
| プラグイン | XSS | arcResBookingWidget | 1.0 | 2015/7/30 |
| プラグイン | XSS | Altos Connect Widget | 1.3.0 | 2015/7/30 |
| プラグイン | XSS | The Holiday Calendar | 1.11.2 | 2015/7/30 |
| プラグイン | XSS | Admin Pack by SITE CASEIRO | 1.1 | 2015/7/30 |
| プラグイン | XSS | Customize Youtube Videos | 0.2 | 2015/7/30 |
| プラグイン | XSS | Copy or Move Comments | 1.0.0 | 2015/7/30 |
| プラグイン | XSS | WP Accurate Form Data | 1.2 | 2015/7/31 |
| プラグイン | CSRF | WP Accurate Form Data | 1.2 | 2015/7/31 |