Pocket

WordPress 2017年2月_脆弱性レポート  2017/3/8

2017年2月度のWordPressに関する脆弱性レポートをお知らせします。

2月度全体の脆弱性報告件数としては9件でした。1月度から19件減少しております。

個所別レポート

個所別の発生件数は、それぞれ本体で1件、テーマは1件、プラグインが7件でした。

内容ですが、本体に関しましては今月は1件の脆弱性が発生致しました。ただし、先月お伝えした通り発生は1月ですが、影響の大きさから2月に入ってからの公表となっているものです。
テーマに関しましては今月は脆弱性が1件発生いたしました。発生は3か月ぶりです。

また先月に引き続き最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。

トピックス

前述のとおり本体に関しましては先月に引き続き、脆弱性が1件発生しております。

内容としましては、REST API の処理に起因する脆弱性です。こちらは先月のレポートにも記載させていただきました脆弱性です。

本脆弱性を悪用した攻撃が多数見受けられておりますので、該当バージョンをご利用の方は必ず最新版へ更新することをお勧めします。

(参考リンク:WordPress の脆弱性対策について))

発生バージョンはバージョン4.7.0~4.7.1です。対策版は4.7.2です。

(※注:2017年3月7日にセキュリティアップデートが発生し、現在の最新版はバージョン4.7.3となっておりますのでこちらへの更新をお勧めします。)

 

テーマに関しましては前述のとおり脆弱性が1件発生しました。内容としてはLFI(ローカルファイルインクルージョン)です。

 

プラグインに関しましては、先月から10件減少し7件の脆弱性が発見されました。そのうち有名プラグインに脆弱性が発見されました。

アクティブインストール100万以上、総ダウンロード数1690万以上の人気プラグイン『NextGEN Gallery』にSQLインジェクションの脆弱性が発生しております。

このプラグインは、写真や画像を使ったギャラリーを作成し記事に簡単に設置することができるプラグインです。

お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン2.1.79以上への更新によって塞ぐことができます。
(※2017年3月8日現在の最新版です)

 

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

  • Gtranslateにてオープンリダイレクト脆弱性

内容別レポート

脆弱性の内容別発生件数は、1位がSQLiで3件、2位がLFIで2件でした。

トピックス

1月度と比較して、脆弱性の総数はかなり減少しております。それに合わせて先月1位のXSSや3位のCSRFなどを筆頭に全体的に減少しております。

 

脆弱性一覧

2017年2月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。

脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2017年2月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
本体 BYPASS WordPress 4.7.0-4.7.1
テーマ LFI Javo Spot Premium Theme
プラグイン CSRF ByREV WP-PICShield
プラグイン XSS Easy Table
プラグイン LFI WordPress CodeArt Google MP3 Player
プラグイン REDIRECT Gtranslate 2.8.10
プラグイン SQLI Kama Click Counter
プラグイン SQLI Mail Masta 1.0
プラグイン SQLI NextGEN Gallery 2.1.77