Pocket

WordPress 2015年10月_脆弱性集計  2015/11/12

2015年10月度のWordPressに関する脆弱性レポートをお知らせします。

10月度全体の脆弱性報告件数としては27件でした。9月度より14件減少しております。ここ2カ月減少傾向にあります。

個所別レポート

個所別の発生件数は、それぞれ本体で0件、テーマは0件、プラグインが27件でした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

今月はレポート集計開始以来初めて、本体・テーマの両方に脆弱性が発生しませんでした。プラグインも減少しており、全体的に減少していることが見て取れます。

トピックス

 

前述のとおり、本体・テーマともに、今月は脆弱性が発見されませんでした。

 

プラグインに関しましては、27件の脆弱性が発見されました。そのうち超有名プラグインに脆弱性が発見されました。

1つめは、ブログでも速報を書かせて頂きました通り、総累計数1900万ダウンロード以上、アクティブインストール100万以上されているプラグインである『Jetpack by WordPress.com』にクロスサイトスクリプティング(XSS)と情報漏えいに関する脆弱性の2件の脆弱性が発生しております。

これは1つのプラグインで、いくつもの機能が利用できる高機能なプラグインです。名前にある通り「pack」ですね。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年11月12日時点での最新バージョンは3.8.0となっております)

2つめは、こちらもブログでも速報を書かせて頂きました通り、総累計数3700万ダウンロード以上、アクティブインストール100万以上のプラグイン『Akismet』にXSS(クロスサイトスクリプティング)の脆弱性が発生しております。

これはWordPressの記事に対するコメントの中から自動的にスパムコメントを分類してくれる便利なプラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年11月12日時点での最新バージョンは3.1.5となっております)

3つめは、こちらもブログでも速報を書かせて頂きました通り、総累計数600万ダウンロード以上、アクティブインストール40万以上のプラグイン『Fast Secure Contact Form』にXSS(クロスサイトスクリプティング)の脆弱性が発生しております。

これはWordPressに問い合せフォームを設置できるプラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年11月12日時点での最新バージョンは4.0.38となっております)

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

  • Font PluginにてLFI
  • WP-Piwik PluginにてXSS
  • BulletProof Security PluginにてXSS

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで14件、2位が SQLインジェクションとCSRFでそれぞれ3件でした。

トピックス

9月度と比較して、脆弱性の総数が減少したことに合わせてXSS、RCE、CSRFが軒並み減少しました。ただ一方でSQLインジェクションのみ微増しました。

脆弱性一覧

2015年10月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。

脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2015年10月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
プラグイン XSS Jetpack by WordPress.com 3.7.0
プラグイン Information Disclosure Jetpack by WordPress.com 3.7.0
プラグイン File Export Ninja Forms 2.9.27
プラグイン XSS ResAds 1.0.1
プラグイン XSS Easy2Map 1.2.9
プラグイン LFI Easy2Map 1.2.9
プラグイン SQLインジェクション Support Ticket System 1.2
プラグイン XSS Visual Composer 4.7.3
プラグイン CSRF Ajax Load More 2.8.1.1
プラグイン XSS Payment Form for PayPal Pro 1.0.1
プラグイン FPD JM Twitter Cards 6.1
プラグイン XSS Pie-Register 2.0.18
プラグイン SQLインジェクション Pie-Register 2.0.18
プラグイン LFI Font 7.5
プラグイン XSS Akismet 2.5.0-3.1.4
プラグイン XSS WP-Piwik 1.0.4
プラグイン XSS Events Made Easy 1.5.49
プラグイン CSRF Events Made Easy 1.5.49
プラグイン RFI Gwolle Guestbook 1.5.3
プラグイン XSS WordPress Calls to Action 2.4.3
プラグイン RCE Form Manager 1.7.2
プラグイン SQLインジェクション wp-championship 5.8
プラグイン XSS Blubrry PowerPress Podcasting plugin 6.0.4
プラグイン XSS Fast Secure Contact Form 4.0.37
プラグイン XSS BulletProof Security .52.4
プラグイン XSS Crony Cronjob Manager 0.4.4
プラグイン CSRF Crony Cronjob Manager 0.4.4

https://wp.kyubi.jp/