Pocket

WordPress 2015年8月_脆弱性集計  2015/9/10

2015年8月度のWordPressに関する脆弱性レポートをお知らせします。

8月度全体の脆弱性報告件数としては53件でした。7月度より33件減少しております。

個所別レポート

個所別の発生件数は、それぞれ本体で5件、テーマは1件、プラグインが47件でした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

また、今月も先月と同様に本体に脆弱性が発生しました。プラグインの数は先月と比べて減少しております。
テーマに関しましても先月と同様に脆弱性情報が発生しました。

Chart by Visualizer

トピックス

本体に5件脆弱性が発生しました。バージョン4.2.3以下にXSS(クロスサイトスクリプティング)に関する脆弱性が3件とSQL(エスキューエル)インジェクションが1件、サイドチャネル攻撃に関する脆弱性が1件と合計5件の脆弱性が発生しております。

対策版に関しましては各バージョンによって異なり、3.7.10、3.8.10、3.9.8、4.0.7、4.1.7、4.2.4になります。※2015年9月10日現在最新版であるバージョン4.3がリリースされております。(ブログ:WordPress4.3がリリース。その名は「Billie」

テーマに関しましても1件の脆弱性が発見されております。内容はXSSです。(ブログ:WordPressのテーマである「Builder」にXSSの脆弱性

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、総累計数960万ダウンロード以上、アクティブインストール100万以上されている超有名なプラグインである『Google Analytics by Yoast』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。

これはアクセス解析用のプラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年9月10日時点での最新バージョンは5.4.6となっております)

また、こちらもブログでも速報を書かせて頂きました通り、総累計数1330万ダウンロード以上、アクティブインストール100万以上の超人気プラグイン『NextGEN Gallery』にLFI (Local File Inclusion)(ローカル・ファイルインクルード)とPath Traversal(パス・トラバーサル)の2件の脆弱性が発生しております。これは写真や画像を使ったギャラリーを作成し記事に簡単に設置することができるプラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年9月10日時点での最新バージョンは2.1.10となっております)

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

  • Ninja Forms PluginにてXSS
  • WP Statistics PluginにてXSS
  • iframe PluginにてXSS 2件
  • Google Analyticator PluginにてXSS

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで31件、2位がCSRFで6件、3位がSQLインジェクションで5件でした。

Chart by Visualizer

トピックス

7月度と比較して、脆弱性の総数が減少したことに合わせてXSS、LFI、SQLインジェクションとCSRFが軒並み増加しました。

脆弱性一覧

2015年8月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。

脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2015年8月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer. 発見日
テーマ XSS Builder 1.4.0 2015/8/3
プラグイン LFI simple-image-manipulator 1.0 2015/8/3
プラグイン LFI recent-backups 0.7 2015/8/3
本体 SQLインジェクション WordPress 4.2.3 2015/8/4
プラグイン XSS Job Manager 0.7.22 2015/8/4
プラグイン XSS Ninja Forms 2.9.21 2015/8/4
プラグイン XSS Database Sync 0.4 2015/8/4
本体 UNKNOWN WordPress 4.2.3 2015/8/5
本体 XSS WordPress 4.2.3 2015/8/5
本体 XSS WordPress 4.2.3 2015/8/5
本体 XSS WordPress 2.0.15 2015/8/5
プラグイン XSS Copy Or Move Comments 1.0.0 2015/8/5
プラグイン XSS WP Accurate Form Data 1.2 2015/8/5
プラグイン CSRF WP Accurate Form Data 1.2 2015/8/5
プラグイン XSS Altos Connect Widget 1.3.0 2015/8/5
プラグイン XSS Admin Pack by SITE CASEIRO 1.1 2015/8/5
プラグイン XSS Content Grabber 1.0 2015/8/5
プラグイン UNKNOWN MainWP 2.0.22 2015/8/8
プラグイン UNKNOWN MainWP Child 2.0.22 2015/8/8
プラグイン SQLインジェクション WP Symposium 15.5.1 2015/8/9
プラグイン SQLインジェクション WP Symposium 15.1 2015/8/10
プラグイン XSS Google Analytics by Yoast 5.4.4 2015/8/10
プラグイン XSS The Holiday Calendar 1.11.2 2015/8/10
プラグイン XSS WP Statistics 9.5.1 2015/8/10
プラグイン FPD MP3-jPlayer 2.3.3 2015/8/10
プラグイン XSS Monetize 1.03 2015/8/10
プラグイン CSRF Monetize 1.03 2015/8/10
プラグイン XSS Bookmarkify 2.9.2 2015/8/10
プラグイン CSRF Bookmarkify 2.9.2 2015/8/10
プラグイン XSS Avenir-soft Direct Download 1.0 2015/8/10
プラグイン CSRF Avenir-soft Direct Download 1.0 2015/8/10
プラグイン XSS iframe 3.0 2015/8/11
プラグイン XSS iframe 3.0 2015/8/11
プラグイン XSS Hide My WP 4.53 2015/8/13
プラグイン UNKNOWN WP OAuth Server 3.1.4 2015/8/14
プラグイン XSS WP REST API 1.2.2 2015/8/14
プラグイン SQLインジェクション DukaPress 2.5.9 2015/8/22
プラグイン XSS MDC Private Message 1.0.0 2015/8/22
プラグイン XSS Google Analyticator 6.4.9.4 2015/8/24
プラグイン CSRF Googmonify 0.5.1 2015/8/24
プラグイン XSS Googmonify 0.5.1 2015/8/24
プラグイン XSS rocket-responsive-gallery 1.0 2015/8/24
プラグイン REDIRECT Google Adsense and Hotel Booking 1.05 2015/8/24
プラグイン XSS WP-Polls 2.70 2015/8/25
プラグイン XSS Navis DocumentCloud 0.1 2015/8/26
プラグイン XSS YouTube Embed 3.3.2 2015/8/26
プラグイン CSRF Private Only 3.5.1 2015/8/26
プラグイン XSS Private Only 3.5.1 2015/8/26
プラグイン SQLインジェクション Car Rental System 3.0 2015/8/26
プラグイン LFI NextGEN Gallery 2.1.7 2015/8/28
プラグイン パストラバーサル NextGEN Gallery 2.1.7 2015/8/28
プラグイン XSS Captain Slider 1.0.6 2015/8/30
プラグイン AUTHBYPASS Job Manager 0.7.25 2015/8/31

https://wp.kyubi.jp/