2016年10月度 WordPress脆弱性レポート

Tweet

Pocket

WordPress　2016年10月_脆弱性集計　　2016/11/10

2016年10月度のWordPressに関する脆弱性レポートをお知らせします。

10月度全体の脆弱性報告件数としては13件でした。9月度から13件減少しております。

個所別レポート

個所別の発生件数は、それぞれ本体で0件、テーマは1件、プラグインが12件でした。

内容ですが、本体に関しましては今月は脆弱性が発生しませんでした。テーマに関しましては今月も1件脆弱性が発生しました。

また先月に引き続き最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。

トピックス

前述のとおり本体に関しましては３か月ぶりに脆弱性が発生しませんでした。

テーマに関しましては前述のとおり１件脆弱性が発生しました。4か月連続の発生です。内容はクロスサイトスクリプティング（XSS）です。

プラグインに関しましては、先月から11件減少し12件の脆弱性が発見されました。そのうち有名プラグインに脆弱性が発見されました。

1つ目は、アクティブインストール80万以上、総ダウンロード数824万以上の人気プラグイン『iThemes Security』にクロスサイトスクリプティング（XSS）の脆弱性が発生しております。

このプラグインはWordPressにおけるメジャーなセキュリティ対策プラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン5.6.2以上への更新によって塞ぐことができます。
（※2016年11月10日現在の最新版はバージョン5.7.0です。アップデートする際は、こちらの最新版へのアップデートをお勧めします。）

2つ目は、アクティブインストール20万以上、総ダウンロード数305万以上の人気プラグイン『Newsletter』にクロスサイトスクリプティング（XSS）とクロスサイトリクエストフォージェリ（CSRF）と２件の脆弱性が発生しております。

このプラグインはWordPressのサイトにニュースレター機能を付加できるプラグインです。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン4.6.1以上への更新によって塞ぐことができます。
（※2016年11月10日現在の最新版はバージョン4.6.8です。アップデートする際は、こちらの最新版へのアップデートをお勧めします。）

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

• WP Editorにてクロスサイトスクリプティング（XSS）
• WassUp Real Time Analyticsにてクロスサイトスクリプティング（XSS）

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで9件、2位がUPLOADで2件、3位はCSRFとAUTHBYPASSで2件でした。

トピックス

9月度と比較して、脆弱性の総数は減少しております。ただし一番多かったXSSの数は先月と同数でした。その他の脆弱性が軒並み減少していたのが総数減少の要因と考えられます。

脆弱性の数は３か月連続で減少しておりますが、これはあくまでも脆弱性の発見数であり、潜在的な脆弱性も含めて脆弱性自体の数が必ずしも減ったわけではないことはご留意ください。

脆弱性一覧

2016年10月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。

脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表：2016年10月度脆弱性一覧