WordPress 2017年3月_脆弱性レポート 2017/4/7
2017年3月度のWordPressに関する脆弱性レポートをお知らせします。
3月度全体の脆弱性報告件数としては45件でした。2月度から36件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体で6件、テーマは1件、プラグインが38件でした。
内容ですが、本体に関しましては今月は6件の脆弱性が発生致しました。
テーマに関しましては今月は脆弱性が1件発生いたしました。発生は2か月連続です。
また先月に引き続き最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。
トピックス
前述のとおり本体に関しましては先月に引き続き、脆弱性が6件発生しております。
内容としましては、バージョン4.7.2以下(正確には各脆弱性ごとにバージョンの範囲が異なります。詳細は記事下部にある表をご参照ください。)にクロスサイトリクエストフォージェリ(CSRF)やクロスサイトスクリプティング(XSS)等合計6件の脆弱性が発生しております。
(参照リンク:WordPress 4.7.3 Security and Maintenance Release)
対策版に関しましては下表のとおりです。
(注:上記6件の脆弱性分を併せて記載しておりますのですべての脆弱性が下表に該当するわけではないのでご理解くださいませ。)
| 現在ご利用のバージョン | 対策済みバージョン |
| 2.8.1~3.6.1 | 4.7.3 |
| 3.7~3.7.18 | 3.7.19 |
| 3.8~3.8.1 | 4.7.3 |
| 3.8.2~3.8.18 | 3.8.19 |
| 3.9~3.9.16 | 3.9.17 |
| 4.0~4.0.15 | 4.0.16 |
| 4.1~4.1.15 | 4.1.16 |
| 4.2~4.2.12 | 4.2.13 |
| 4.3~4.3.8 | 4.3.9 |
| 4.4~4.4.7 | 4.4.8 |
| 4.5~4.5.6 | 4.5.7 |
| 4.6~4.6.3 | 4.6.4 |
| 4.7~4.7.2 | 4.7.3 |
(※2017年4月7日現在の最新版です。)
テーマに関しましては前述のとおり脆弱性が1件発生しました。内容としてはXSS(クロスサイトスクリプティング)です。
プラグインに関しましては、先月から31件増加し38件の脆弱性が発見されました。そのうち有名プラグインに脆弱性が発見されました。
アクティブインストール20万以上、総ダウンロード数399万以上の人気プラグイン『Contact Form by BestWebSoft』にXSS(クロスサイトスクリプティング)の脆弱性が発生しております。
このプラグインは、数あるお問い合わせフォーム用プラグインの1つです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン4.0.2以上への更新によって塞ぐことができます。
(※2017年4月7日現在の最新版はバージョン4.0.5ですのでこちらの最新版への更新をお勧めします。)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Download ManagerにてCSRF(クロスサイトリクエストフォージェリ)
- NewStatPressにてXSS(クロスサイトスクリプティング)
- Profile BuilderにてXSS(クロスサイトスクリプティング)
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで22件、2位がCSRFで7件でした。
トピックス
2月度と比較して、脆弱性の総数が増加しております。それに合わせて1位のXSSや2位のCSRFなどを筆頭に全体的に増加しております。一方でSQLインジェクションやLFIが微減となっております。
脆弱性一覧
2017年3月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2017年3月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | XSS | WordPress | 4.7-4.7.2 |
| 本体 | Others | WordPress | 4.7-4.7.2 |
| 本体 | CSRF | WordPress | 4.2-4.7.2 |
| 本体 | XSS | WordPress | 4.0-4.7.2 |
| 本体 | BYPASS | WordPress | 2.8.1-4.7.2 |
| 本体 | XSS | WordPress | 3.6.0-4.7.2 |
| テーマ | XSS | Atahualpa Theme | |
| プラグイン | UPLOAD | mobile-friendly-app-builder-by-easytouch | 3.0 |
| プラグイン | UPLOAD | WordPress Mobile app Builder | 1.05 |
| プラグイン | UPLOAD | Mobile App Native | 3.0 |
| プラグイン | UPLOAD | Webapp builder | 2.0 |
| プラグイン | CSRF | File Manager | |
| プラグイン | UPLOAD | Wp2android | 1.1.4 |
| プラグイン | XSS | WP Markdown Editor | 2.3.0 |
| プラグイン | RCE | Analytics Stats Counter Statistics | |
| プラグイン | XSS | Admin Custom Login | |
| プラグイン | XSS | User Login Log | |
| プラグイン | XSS | Trust Form | |
| プラグイン | XSS | rockhoist-badges | 1.2.2 |
| プラグイン | CSRF | Popup by Supsystic | |
| プラグイン | Others | Membership Simplified | 1.58 |
| プラグイン | XSS | Magic Fields | 1.7.1 |
| プラグイン | BYPASS | Cforms | 14.10.1 |
| プラグイン | BYPASS | CformsII | 14.10.1 |
| プラグイン | SQLI | DTracker | 1.5 |
| プラグイン | BYPASS | BuddyPress Docs | 1.9.2 |
| プラグイン | XSS | AnyVar | 0.1.1 |
| プラグイン | Others | VaultPress | 1.8.6 |
| プラグイン | RCE | Simple Ads Manager | |
| プラグイン | XSS | NewStatPress | 1.2.4 |
| プラグイン | BYPASS | Invite Anyone | 1.3.14 |
| プラグイン | CSRF | Gwolle Guestbook | 2.1.0 |
| プラグイン | XSS | Gwolle Guestbook | 2.1.0 |
| プラグイン | XSS | Google XML Sitemaps | |
| プラグイン | CSRF | Contact Form Manager | |
| プラグイン | XSS | Contact Form Manager | |
| プラグイン | XSS | Tribulant Slideshow Gallery | 1.6.4 |
| プラグイン | XSS | Profile Builder | 5.2.7 |
| プラグイン | XSS | Google Analytics Dashboard | |
| プラグイン | XSS | Alpine PhotoTile | |
| プラグイン | XSS | Contact Form by BestWebSoft | 4.0.1 |
| プラグイン | XSS | WP-SpamFree Anti-Spam | |
| プラグイン | XSS | WP-Filebase Download Manager | |
| プラグイン | CSRF | Global Content Blocks | |
| プラグイン | CSRF | Download Manager | 2.9.45 |