Pocket

WordPress 2015年9月_脆弱性集計  2015/10/8

2015年9月度のWordPressに関する脆弱性レポートをお知らせします。

9月度全体の脆弱性報告件数としては41件でした。8月度より12件減少しております。

個所別レポート

個所別の発生件数は、それぞれ本体で3件、テーマは1件、プラグインが37件でした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

また、今月も先月と同様に本体に脆弱性が発生しました。プラグインの数は先月と比べて減少しております。
テーマに関しましても先月と同様に脆弱性情報が発生しました。

トピックス

本体に3件脆弱性が発生しました。バージョン4.3以下にXSS(クロスサイトスクリプティング)に関する脆弱性が2件とパーミッションに関する脆弱性が1件と合計3件の脆弱性が発生しております。

対策版に関しましては各バージョンによって異なり、3.7.11、3.8.11、3.9.9、4.0.8、4.1.8、4.2.5、4.3.1になります。

テーマに関しましても1件の脆弱性が発見されております。内容はXSSです。

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、総累計数62万ダウンロード以上、アクティブインストール1万以上されているプラグインである『eShop』にクロスサイトスクリプティング(XSS)とCSRF(クロスサイトリクエストフォージェリ)の2件の脆弱性が発生しております。

これはネットショップを開設することができるプラグイン。お使いの方は、バージョンの確認をすることを推奨します。

また、こちらもブログでも速報を書かせて頂きました通り、総累計数810万ダウンロード以上、アクティブインストール100万以上の超人気プラグイン『WP Super Cache』にXSS(クロスサイトスクリプティング)とPHP Object Injection(オブジェクト インジェクション)の2件の脆弱性が発生しております。

これはページの表示速度を改善することができるプラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年10月8日時点での最新バージョンは1.4.5となっております)

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

  • Testimonial Slider PluginにてXSSとCSRF 2件
  • BJ Lazy Load PluginにてRFI
  • Custom Sidebars PluginにてXSS
  • WordPress Landing Pages PluginにてRCE

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで19件、2位がCSRFで10件、3位がRCEで3件でした。

トピックス

8月度と比較して、脆弱性の総数が減少したことに合わせてXSS、LFI、SQLインジェクションとCSRFが軒並み減少しました。

脆弱性一覧

2015年9月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。

脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2015年9月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer. 発見日
プラグイン CSRF Watu PRO 4.8.8.4 2015/9/1
プラグイン RFI BJ Lazy Load 0.7.5 2015/9/2
プラグイン XSS WPML 2.9.3-3.2.6 2015/9/2
プラグイン XSS WordPress Responsive Thumbnail Slider 1.0 2015/9/2
プラグイン CSRF WordPress Responsive Thumbnail Slider 1.0 2015/9/2
プラグイン UPLOAD WordPress Responsive Thumbnail Slider 1.0 2015/9/2
プラグイン CSRF WordPress Responsive Thumbnail Slider 1.0 2015/9/2
プラグイン XSS Testimonial Slider 1.2.1 2015/9/2
プラグイン CSRF Testimonial Slider 1.2.1 2015/9/2
プラグイン XSS sourceAFRICA 0.1.3 2015/9/2
プラグイン XSS WP Symposium 15.8.1 2015/9/7
テーマ XSS uDesign Theme 1.8.0-2.7.9 2015/9/8
プラグイン CSRF Contact Form Generator 2.0.1 2015/9/8
プラグイン XSS eShop 6.3.13 2015/9/9
プラグイン CSRF eShop 6.3.13 2015/9/9
プラグイン RCE SecureMoz Security Audit 1.0.5 2015/9/9
プラグイン SQLインジェクション WP Limit Login Attempts 2.0.0 2015/9/9
プラグイン XSS Postmatic 1.4.5 2015/9/13
プラグイン XSS Royal Slider 3.2.6 2015/9/13
プラグイン XSS Easy Media Gallery 1.3.47 2015/9/13
本体 BYPASS WordPress 4.3 2015/9/15
本体 XSS WordPress 4.3 2015/9/15
本体 XSS WordPress 4.3 2015/9/15
プラグイン RCE EZ SQL Reports 4.11.33 2015/9/15
プラグイン UPLOAD EZ SQL Reports 4.11.33 2015/9/15
プラグイン RFI Csv2WPeC Coupon 1.1 2015/9/16
プラグイン XSS ALO EasyMail Newsletter 2.6.00 2015/9/17
プラグイン CSRF ALO EasyMail Newsletter 2.6.00 2015/9/17
プラグイン SQLインジェクション CP Reservation Calendar 1.1.6 2015/9/18
プラグイン XSS WP Shop 3.4.3.18 2015/9/18
プラグイン CSRF WP Shop 3.4.3.18 2015/9/18
プラグイン LFI MyPixs 0.3 2015/9/18
プラグイン XSS xPinner Lite 2.2 2015/9/20
プラグイン CSRF xPinner Lite 2.2 2015/9/20
プラグイン XSS wordpress vertical image slider plugin 2015/9/21
プラグイン CSRF wordpress vertical image slider plugin 2015/9/21
プラグイン XSS Custom Sidebars 2.1.0.1 2015/9/23
プラグイン PHP Object Injection WP Super Cache 1.4.4 2015/9/26
プラグイン XSS WP Super Cache 1.4.4 2015/9/26
プラグイン XSS Appointment Booking Calendar 1.1.7 2015/9/29
プラグイン RCE WordPress Landing Pages 1.8.8-1.9.0 2015/9/30

https://wp.kyubi.jp/