WordPress 2015年11月_脆弱性集計 2015/12/17
2015年11月度のWordPressに関する脆弱性レポートをお知らせします。
11月度全体の脆弱性報告件数としては126件でした。10月度より99件増加しております。かなり増加した理由に関しましては後程説明いたします。
個所別レポート
個所別の発生件数は、それぞれ本体で0件、テーマは0件、プラグインが126件でした。
内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。
今月も本体・テーマの両方に脆弱性が発生しませんでした。2カ月連続です。但しプラグインの脆弱性総数はかなりの数増加しました。
その要因としましては、WordPressの人気プラグイン1000個をコード分析した結果103個の脆弱性が発見された件が起因しています。
但し、すでに修正済みのものまたは公式プラグインデポジトリーから削除済みのものがほとんどでした。
トピックス
前述のとおり、本体・テーマともに、今月も脆弱性が発見されませんでした。
プラグインに関しましては、126件の脆弱性が発見されました。そのうち超有名プラグインに脆弱性が発見されました。
1つめは、ブログでも速報を書かせて頂きました通り、総累計数343万ダウンロード以上、アクティブインストール10万以上されているプラグインである『BuddyPress』にPrivilege Escalation(特権昇格)の脆弱性が発生しております。
これはWordPressにSNSを導入できるプラグインです。Facebookのようなサービスを独自で提供可能です。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年12月17日時点での最新バージョンは2.4.3となっております)
2つめは、こちらもブログでも速報を書かせて頂きました通り、総累計数1088万ダウンロード以上、アクティブインストール100万以上のプラグイン『WooCommerce』にXSS(クロスサイトスクリプティング)の脆弱性が発生しております。
これはWordPressをECサイト化できるプラグインです。今年の春先にWordPress.comの運営会社「Automattic」が買収し、WordPressファミリーの一員になったことでも有名ですね。お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年12月17日時点での最新バージョンは2.4.12となっております)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Duplicator PluginにてXSS
- All In One WP Security & Firewall PluginにてXSS
- Share Buttons by AddThis PluginにてXSS
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで81件、2位が SQLインジェクションで36件、3位がUPLOADで5件でした。
トピックス
10月度と比較して、脆弱性の総数が増加したことに合わせてXSS、SQLインジェクションと軒並み増加しました。ただ一方でCSRFが減少しました。
脆弱性一覧
2015年11月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2015年11月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
|---|---|---|---|
| プラグイン | UPLOAD | WordPress File Upload | 3.4.0 |
| プラグイン | XSS | neuvoo-jobroll | 2.0 |
| プラグイン | XSS | Types | 1.8.7.2 |
| プラグイン | SQLインジェクション | WP Fastest Cache | 0.8.4.8 |
| プラグイン | BYPASS | BuddyPress | 2.3.4 |
| プラグイン | XSS | Social Media and Share Icons | 1.1.1.11 |
| プラグイン | UPLOAD | Gravity Upload Ajax | 1.1 |
| プラグイン | XSS | Titan Framework | 1.0.1-1.5.2 |
| プラグイン | XSS | Easy Contact Form Solution | 1.0-1.6 |
| プラグイン | XSS | Contact Form Integrated With Google Maps | 1.0-2.4 |
| プラグイン | XSS | Gallery Bank | 2.0.26-3.0.69 |
| プラグイン | XSS | NEX-Forms Lite | 2.1.0 |
| プラグイン | FPD | Grand Flagallery | 4.24 |
| プラグイン | XSS | Profile Builder | 2.0.2 |
| プラグイン | XSS | Post highlights | 2.0-2.6 |
| プラグイン | SQLインジェクション | WordPress Store Locator | 2.3-3.11 |
| プラグイン | XSS | WooCommerce | 2.4.8 |
| プラグイン | UPLOAD | Users Ultra Membership Plugin | 1.5.58 |
| プラグイン | XSS | Duplicator | 0.5.26 |
| プラグイン | XSS | All In One WP Security & Firewall | 3.9.7 |
| プラグイン | XSS | AddThis Sharing Buttons | 5.0.12 |
| プラグイン | XSS | Display Widgets | 2.03 |
| プラグイン | SQLインジェクション | SEO SearchTerms Tagging | 2 1.535 |
| プラグイン | SQLインジェクション | Pretty Link Lite | 1.6.7 |
| プラグイン | XSS | My Page Order | 4.3 |
| プラグイン | XSS | Category Order and Taxonomy Terms Order | 1.4.4 |
| プラグイン | XSS | WP Social Bookmarking Light | 1.7.9 |
| プラグイン | XSS | WP Google Fonts | 3.1.3 |
| プラグイン | XSS | Easy Table | 1.5.2 |
| プラグイン | XSS | My Category Order | 4.3 |
| プラグイン | XSS | CKEditor for WordPress | 4.5.3 |
| プラグイン | SQLインジェクション | Slider | 2.8.6 |
| プラグイン | XSS | Dynamic Widgets | 1.5.10 |
| プラグイン | XSS | Google Language Translator | 4.0.9 |
| プラグイン | XSS | JW Player 6 Plugin for WordPress | 2.1.14 |
| プラグイン | XSS | Floating Social Media Icon | 2.1 |
| プラグイン | SQLインジェクション | Contact Form Builder | 1.0.24 |
| プラグイン | UPLOAD | Tribulant Slideshow Gallery | 1.5.3 |
| プラグイン | XSS | Tribulant Slideshow Gallery | 1.5.3 |
| プラグイン | SQLインジェクション | Master Slider | 2.5.1 |
| プラグイン | SQLインジェクション | WP RSS Multi Importer | 3.15 |
| プラグイン | XSS | WP RSS Multi Importer | 3.15 |
| プラグイン | XSS | Add Link to Facebook | 2.2.7 |
| プラグイン | SQLインジェクション | 404 to 301 | 2.0.2 |
| プラグイン | XSS | Alpine PhotoTile for Instagram | 1.2.7.5 |
| プラグイン | XSS | Image Gallery | 1.5.1 |
| プラグイン | XSS | Visitor Maps and Who’s Online | 1.5.8.6 |
| プラグイン | XSS | WP Google Map Plugin | 2.3.9 |
| プラグイン | XSS | WP Job Manager | 1.23.7 |
| プラグイン | SQLインジェクション | Easy Social Icons | 1.2.3.1 |
| プラグイン | XSS | My Link Order | 4.3 |
| プラグイン | XSS | WP Database Backup | 3.3 |
| プラグイン | UPLOAD | Theme Test Drive | 2.9 |
| プラグイン | XSS | Theme Test Drive | 2.9 |
| プラグイン | XSS | Subscribe To Comments Reloaded | 150611 |
| プラグイン | XSS | SEO Redirection Plugin | 2.8 |
| プラグイン | XSS | qTranslate X | 3.4.3 |
| プラグイン | SQLインジェクション | Gallery Bank | 3.0.229 |
| プラグイン | XSS | Crazy Bone | 0.5.5 |
| プラグイン | XSS | Social Media Widget by Acurax | 2.2 |
| プラグイン | XSS | Anti-Spam by CleanTalk | 5.21 |
| プラグイン | SQLインジェクション | Smooth Slider | 2.6.5 |
| プラグイン | XSS | YITH Maintenance Mode | 1.1.4 |
| プラグイン | XSS | Email Subscribers | 2.9 |
| プラグイン | SQLインジェクション | Email Subscribers | 2.9 |
| プラグイン | XSS | Email newsletter | 20.13.6 |
| プラグイン | XSS | EZP Coming Soon Page | 1.0.0 |
| プラグイン | XSS | Contact Bank | 2.0.225 |
| プラグイン | XSS | Kiwi Logo Carousel | 1.7.1 |
| プラグイン | XSS | WP Legal Pages | 1.0.1 |
| プラグイン | XSS | WP Crontrol | 1.2.3 |
| プラグイン | XSS | Websimon Tables | 1.3.4 |
| プラグイン | XSS | SEO Rank Reporter | 2.2.2 |
| プラグイン | XSS | WP Keyword Link | 1.7 |
| プラグイン | XSS | Portfolio Gallery | 1.5.7 |
| プラグイン | XSS | Manual Image Crop | 1.10 |
| プラグイン | XSS | iQ Block Country | 1.1.19 |
| プラグイン | XSS | GigPress | 2.3.10 |
| プラグイン | SQLインジェクション | GigPress | 2.3.10 |
| プラグイン | LFI | Multi Plugin Installer | 1.1.0 |
| プラグイン | XSS | FV WordPress Flowplayer | 6.0.3.3 |
| プラグイン | XSS | Easy Coming Soon | 1.8.1 |
| プラグイン | XSS | Contact Form Manager | 1.4.1 |
| プラグイン | SQLインジェクション | WordPress Meta Robots | 2.1 |
| プラグイン | XSS | Smart Slider 2 | 2.3.11 |
| プラグイン | XSS | SoundCloud Is Gold | 2.31 |
| プラグイン | SQLインジェクション | Contact Form Maker | 1.7.30 |
| プラグイン | XSS | Plugin Central | 2.5 |
| プラグイン | SQLインジェクション | Yet Another Stars Rating | 0.9.0 |
| プラグイン | SQLインジェクション | Smart Manager for WooCommerce & WPeC | 3.9.6 |
| プラグイン | SQLインジェクション | Awesome Filterable Portfolio | 1.8.6 |
| プラグイン | SQLインジェクション | WP Shop | 3.4.3.15 |
| プラグイン | XSS | Job Manager | 0.7.24 |
| プラグイン | XSS | Post video players | 1.136 |
| プラグイン | UNKNOWN | Child Theme Creator by Orbisius | 1.2.6 |
| プラグイン | SQLインジェクション | WP-Stats-Dashboard | 2.9.4 |
| プラグイン | XSS | WP Page Widget | 2.7 |
| プラグイン | SQLインジェクション | WTI Like Post | 1.4.2 |
| プラグイン | SQLインジェクション | Huge IT Google Map | 2.2.5 |
| プラグイン | SQLインジェクション | Broken Link Manager | 0.4.5 |
| プラグイン | SQLインジェクション | Microblog Poster | 1.6.0 |
| プラグイン | XSS | GoCodes | 1.3.5 |
| プラグイン | SQLインジェクション | GoCodes | 1.3.5 |
| プラグイン | SQLインジェクション | Auto Affiliate Links | 4.9.9.4 |
| プラグイン | SQLインジェクション | SendPress Newsletters | 1.1.7.21 |
| プラグイン | XSS | Email Users | 4.7.5 |
| プラグイン | XSS | Social Share Button | 2.1 |
| プラグイン | XSS | OnePress Social Locker | 4.2.0 |
| プラグイン | XSS | Email Encoder Bundle | 1.4.1 |
| プラグイン | XSS | Page Restrict | 2.2.1 |
| プラグイン | XSS | Multicons | 2.1 |
| プラグイン | XSS | PlugNedit Adaptive Editor | 5.2.0 |
| プラグイン | SQLインジェクション | Woocommerce Abandoned Cart Lite | 1.8 |
| プラグイン | XSS | Broken Link Manager | 0.5.5 |
| プラグイン | SQLインジェクション | Quiz And Survey Master | 4.4.2 |
| プラグイン | XSS | Role Scoper | 1.3.64 |
| プラグイン | SQLインジェクション | NEX-Forms | 4.0 |
| プラグイン | XSS | Ad Inserter | 1.5.5 |
| プラグイン | XSS | Olevmedia Shortcodes | 1.1.8 |
| プラグイン | SQLインジェクション | Pinpoint Booking System | 2.0 |
| プラグイン | SQLインジェクション | Plugmatter Optin Feature Box | 2.0.13 |
| プラグイン | SQLインジェクション | WR ContactForm | 1.1.9 |
| プラグイン | XSS | Simple Fields | 1.4.10 |
| プラグイン | SQLインジェクション | WP Live Chat Support | 4.3.5 |
| プラグイン | XSS | Auto ThickBox Plus | 1.9 |
| プラグイン | SQLインジェクション | Double Opt-In for Download | 2.0.8 |