WordPress 2015年8月_脆弱性集計 2015/9/10
2015年8月度のWordPressに関する脆弱性レポートをお知らせします。
8月度全体の脆弱性報告件数としては53件でした。7月度より33件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体で5件、テーマは1件、プラグインが47件でした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。
また、今月も先月と同様に本体に脆弱性が発生しました。プラグインの数は先月と比べて減少しております。
テーマに関しましても先月と同様に脆弱性情報が発生しました。
トピックス
本体に5件脆弱性が発生しました。バージョン4.2.3以下にXSS(クロスサイトスクリプティング)に関する脆弱性が3件とSQL(エスキューエル)インジェクションが1件、サイドチャネル攻撃に関する脆弱性が1件と合計5件の脆弱性が発生しております。
対策版に関しましては各バージョンによって異なり、3.7.10、3.8.10、3.9.8、4.0.7、4.1.7、4.2.4になります。※2015年9月10日現在最新版であるバージョン4.3がリリースされております。(ブログ:WordPress4.3がリリース。その名は「Billie」)
テーマに関しましても1件の脆弱性が発見されております。内容はXSSです。(ブログ:WordPressのテーマである「Builder」にXSSの脆弱性)
プラグインに関しましては、ブログでも速報を書かせて頂きました通り、総累計数960万ダウンロード以上、アクティブインストール100万以上されている超有名なプラグインである『Google Analytics by Yoast』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。
これはアクセス解析用のプラグインです。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年9月10日時点での最新バージョンは5.4.6となっております)
また、こちらもブログでも速報を書かせて頂きました通り、総累計数1330万ダウンロード以上、アクティブインストール100万以上の超人気プラグイン『NextGEN Gallery』にLFI (Local File Inclusion)(ローカル・ファイルインクルード)とPath Traversal(パス・トラバーサル)の2件の脆弱性が発生しております。これは写真や画像を使ったギャラリーを作成し記事に簡単に設置することができるプラグインです。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年9月10日時点での最新バージョンは2.1.10となっております)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Ninja Forms PluginにてXSS
- WP Statistics PluginにてXSS
- iframe PluginにてXSS 2件
- Google Analyticator PluginにてXSS
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで31件、2位がCSRFで6件、3位がSQLインジェクションで5件でした。
トピックス
7月度と比較して、脆弱性の総数が減少したことに合わせてXSS、LFI、SQLインジェクションとCSRFが軒並み増加しました。
脆弱性一覧
2015年8月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2015年8月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. | 発見日 |
| テーマ | XSS | Builder | 1.4.0 | 2015/8/3 |
| プラグイン | LFI | simple-image-manipulator | 1.0 | 2015/8/3 |
| プラグイン | LFI | recent-backups | 0.7 | 2015/8/3 |
| 本体 | SQLインジェクション | WordPress | 4.2.3 | 2015/8/4 |
| プラグイン | XSS | Job Manager | 0.7.22 | 2015/8/4 |
| プラグイン | XSS | Ninja Forms | 2.9.21 | 2015/8/4 |
| プラグイン | XSS | Database Sync | 0.4 | 2015/8/4 |
| 本体 | UNKNOWN | WordPress | 4.2.3 | 2015/8/5 |
| 本体 | XSS | WordPress | 4.2.3 | 2015/8/5 |
| 本体 | XSS | WordPress | 4.2.3 | 2015/8/5 |
| 本体 | XSS | WordPress | 2.0.15 | 2015/8/5 |
| プラグイン | XSS | Copy Or Move Comments | 1.0.0 | 2015/8/5 |
| プラグイン | XSS | WP Accurate Form Data | 1.2 | 2015/8/5 |
| プラグイン | CSRF | WP Accurate Form Data | 1.2 | 2015/8/5 |
| プラグイン | XSS | Altos Connect Widget | 1.3.0 | 2015/8/5 |
| プラグイン | XSS | Admin Pack by SITE CASEIRO | 1.1 | 2015/8/5 |
| プラグイン | XSS | Content Grabber | 1.0 | 2015/8/5 |
| プラグイン | UNKNOWN | MainWP | 2.0.22 | 2015/8/8 |
| プラグイン | UNKNOWN | MainWP Child | 2.0.22 | 2015/8/8 |
| プラグイン | SQLインジェクション | WP Symposium | 15.5.1 | 2015/8/9 |
| プラグイン | SQLインジェクション | WP Symposium | 15.1 | 2015/8/10 |
| プラグイン | XSS | Google Analytics by Yoast | 5.4.4 | 2015/8/10 |
| プラグイン | XSS | The Holiday Calendar | 1.11.2 | 2015/8/10 |
| プラグイン | XSS | WP Statistics | 9.5.1 | 2015/8/10 |
| プラグイン | FPD | MP3-jPlayer | 2.3.3 | 2015/8/10 |
| プラグイン | XSS | Monetize | 1.03 | 2015/8/10 |
| プラグイン | CSRF | Monetize | 1.03 | 2015/8/10 |
| プラグイン | XSS | Bookmarkify | 2.9.2 | 2015/8/10 |
| プラグイン | CSRF | Bookmarkify | 2.9.2 | 2015/8/10 |
| プラグイン | XSS | Avenir-soft Direct Download | 1.0 | 2015/8/10 |
| プラグイン | CSRF | Avenir-soft Direct Download | 1.0 | 2015/8/10 |
| プラグイン | XSS | iframe | 3.0 | 2015/8/11 |
| プラグイン | XSS | iframe | 3.0 | 2015/8/11 |
| プラグイン | XSS | Hide My WP | 4.53 | 2015/8/13 |
| プラグイン | UNKNOWN | WP OAuth Server | 3.1.4 | 2015/8/14 |
| プラグイン | XSS | WP REST API | 1.2.2 | 2015/8/14 |
| プラグイン | SQLインジェクション | DukaPress | 2.5.9 | 2015/8/22 |
| プラグイン | XSS | MDC Private Message | 1.0.0 | 2015/8/22 |
| プラグイン | XSS | Google Analyticator | 6.4.9.4 | 2015/8/24 |
| プラグイン | CSRF | Googmonify | 0.5.1 | 2015/8/24 |
| プラグイン | XSS | Googmonify | 0.5.1 | 2015/8/24 |
| プラグイン | XSS | rocket-responsive-gallery | 1.0 | 2015/8/24 |
| プラグイン | REDIRECT | Google Adsense and Hotel Booking | 1.05 | 2015/8/24 |
| プラグイン | XSS | WP-Polls | 2.70 | 2015/8/25 |
| プラグイン | XSS | Navis DocumentCloud | 0.1 | 2015/8/26 |
| プラグイン | XSS | YouTube Embed | 3.3.2 | 2015/8/26 |
| プラグイン | CSRF | Private Only | 3.5.1 | 2015/8/26 |
| プラグイン | XSS | Private Only | 3.5.1 | 2015/8/26 |
| プラグイン | SQLインジェクション | Car Rental System | 3.0 | 2015/8/26 |
| プラグイン | LFI | NextGEN Gallery | 2.1.7 | 2015/8/28 |
| プラグイン | パストラバーサル | NextGEN Gallery | 2.1.7 | 2015/8/28 |
| プラグイン | XSS | Captain Slider | 1.0.6 | 2015/8/30 |
| プラグイン | AUTHBYPASS | Job Manager | 0.7.25 | 2015/8/31 |