WordPress 2015年10月_脆弱性集計 2015/11/12
2015年10月度のWordPressに関する脆弱性レポートをお知らせします。
10月度全体の脆弱性報告件数としては27件でした。9月度より14件減少しております。ここ2カ月減少傾向にあります。
個所別レポート
個所別の発生件数は、それぞれ本体で0件、テーマは0件、プラグインが27件でした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。
今月はレポート集計開始以来初めて、本体・テーマの両方に脆弱性が発生しませんでした。プラグインも減少しており、全体的に減少していることが見て取れます。
トピックス
前述のとおり、本体・テーマともに、今月は脆弱性が発見されませんでした。
プラグインに関しましては、27件の脆弱性が発見されました。そのうち超有名プラグインに脆弱性が発見されました。
1つめは、ブログでも速報を書かせて頂きました通り、総累計数1900万ダウンロード以上、アクティブインストール100万以上されているプラグインである『Jetpack by WordPress.com』にクロスサイトスクリプティング(XSS)と情報漏えいに関する脆弱性の2件の脆弱性が発生しております。
これは1つのプラグインで、いくつもの機能が利用できる高機能なプラグインです。名前にある通り「pack」ですね。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年11月12日時点での最新バージョンは3.8.0となっております)
2つめは、こちらもブログでも速報を書かせて頂きました通り、総累計数3700万ダウンロード以上、アクティブインストール100万以上のプラグイン『Akismet』にXSS(クロスサイトスクリプティング)の脆弱性が発生しております。
これはWordPressの記事に対するコメントの中から自動的にスパムコメントを分類してくれる便利なプラグインです。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年11月12日時点での最新バージョンは3.1.5となっております)
3つめは、こちらもブログでも速報を書かせて頂きました通り、総累計数600万ダウンロード以上、アクティブインストール40万以上のプラグイン『Fast Secure Contact Form』にXSS(クロスサイトスクリプティング)の脆弱性が発生しております。
これはWordPressに問い合せフォームを設置できるプラグインです。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年11月12日時点での最新バージョンは4.0.38となっております)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Font PluginにてLFI
- WP-Piwik PluginにてXSS
- BulletProof Security PluginにてXSS
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで14件、2位が SQLインジェクションとCSRFでそれぞれ3件でした。
トピックス
9月度と比較して、脆弱性の総数が減少したことに合わせてXSS、RCE、CSRFが軒並み減少しました。ただ一方でSQLインジェクションのみ微増しました。
脆弱性一覧
2015年10月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2015年10月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| プラグイン | XSS | Jetpack by WordPress.com | 3.7.0 |
| プラグイン | Information Disclosure | Jetpack by WordPress.com | 3.7.0 |
| プラグイン | File Export | Ninja Forms | 2.9.27 |
| プラグイン | XSS | ResAds | 1.0.1 |
| プラグイン | XSS | Easy2Map | 1.2.9 |
| プラグイン | LFI | Easy2Map | 1.2.9 |
| プラグイン | SQLインジェクション | Support Ticket System | 1.2 |
| プラグイン | XSS | Visual Composer | 4.7.3 |
| プラグイン | CSRF | Ajax Load More | 2.8.1.1 |
| プラグイン | XSS | Payment Form for PayPal Pro | 1.0.1 |
| プラグイン | FPD | JM Twitter Cards | 6.1 |
| プラグイン | XSS | Pie-Register | 2.0.18 |
| プラグイン | SQLインジェクション | Pie-Register | 2.0.18 |
| プラグイン | LFI | Font | 7.5 |
| プラグイン | XSS | Akismet | 2.5.0-3.1.4 |
| プラグイン | XSS | WP-Piwik | 1.0.4 |
| プラグイン | XSS | Events Made Easy | 1.5.49 |
| プラグイン | CSRF | Events Made Easy | 1.5.49 |
| プラグイン | RFI | Gwolle Guestbook | 1.5.3 |
| プラグイン | XSS | WordPress Calls to Action | 2.4.3 |
| プラグイン | RCE | Form Manager | 1.7.2 |
| プラグイン | SQLインジェクション | wp-championship | 5.8 |
| プラグイン | XSS | Blubrry PowerPress Podcasting plugin | 6.0.4 |
| プラグイン | XSS | Fast Secure Contact Form | 4.0.37 |
| プラグイン | XSS | BulletProof Security | .52.4 |
| プラグイン | XSS | Crony Cronjob Manager | 0.4.4 |
| プラグイン | CSRF | Crony Cronjob Manager | 0.4.4 |