WordPress 2018年1月_脆弱性レポート 2018/2/2
2018年1月度のWordPressに関する脆弱性レポートをお知らせします。
1月度全体の脆弱性報告件数としては32件でした。2017年12月度から9件増加しております。
個所別レポート
個所別の発生件数は、それぞれ本体が1件、テーマが1件、プラグインが30件でした。
本体に関しまして、今月は脆弱性が発生しております。
2017年11月ぶりの発生になります。
テーマに関しましても脆弱性が発生しております。
こちらは、2017年9月以来になります。
また、先月に引き続き最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。
トピックス
前述のとおり本体に関しましては、脆弱性が1件発生しております。
ブログにて速報しております通り、バージョン3.7-4.9.1にクロスサイトスクリプティング(XSS)の脆弱性が含まれています。
すでに対策バージョン4.9.2がリリースされており、WordPress 3.7以降のすべてのバージョンのセキュリティおよびバグを修正しました。
セキュリティに関しましては、WordPressファイルに含まれている「MediaElement.js」においてクロスサイトスクリプティング(XSS)の脆弱性が発見されたので、同じような機能をもつファイルを削除しております。
バグに関しましては、「Firefoxの投稿を保存できないJavaScriptエラー」等を含む計21個のバグが修正がされました。
(参照リンク:WordPress 4.9.1 Security Release)
対策版に関しましては下表のとおりです。
| 現在ご利用のバージョン | 対策済みバージョン |
| 3.7~3.7.24 | 3.7.25 |
| 3.8~3.8.24 | 3.8.25 |
| 3.9~3.9.22 | 3.9.23 |
| 4.0~4.0.21 | 4.0.22 |
| 4.1~4.1.21 | 4.1.22 |
| 4.2~4.2.18 | 4.2.19 |
| 4.3~4.3.14 | 4.3.15 |
| 4.4~4.4.13 | 4.4.14 |
| 4.5~4.5.12 | 4.5.13 |
| 4.6~4.6.9 | 4.6.10 |
| 4.7~4.7.8 | 4.7.9 |
| 4.8~4.8.4 | 4.8.5 |
| 4.9~4.9.1 | 4.9.2 |
(※バージョン4.2と4.2.1と4.2.3に関しましては、4.9.2にアップデートすることを推進します。)
テーマに関しましても前述のとおり、1件脆弱性が発生しております。
「Enfold」という海外のテーマであり、攻撃者がテーマの設定をエクスポートできてしまう脆弱性と、ポートフォリオのパーマリンク構造を書き換えることができてしまう脆弱性があります。
脆弱性はすでにアップデートによって修正済みで、バージョン4.2.1以上への更新によって塞ぐことができます。
プラグインに関しましては、先月から7件増加し30件の脆弱性が発見されました。そのうち有名プラグインに脆弱性が発見されました。
1つ目は、アクティブインストール10万以上、総ダウンロード数230万以上の人気プラグイン『WordPress Download Manager』にCSRFの脆弱性が発生しております。
このプラグインは、サイトにあるリンクから直接ファイルをダウンロードできるようにし、ダウンロード数の統計を取ることができるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン2.9.61以上への更新によって塞ぐことができます。
(※2018年2月2日現在の最新版はバージョン2.9.64ですのでこちらの最新版への更新をお勧めします。)
2つ目は、アクティブインストール10万以上、総ダウンロード数120万以上の人気プラグイン『Email Subscribers & Newsletters』にAUTHBYPASSの脆弱性が発生しております。
このプラグインは、メールマガジンを発行することができるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.4.8以上への更新によって塞ぐことができます。
(※2018年2月2日現在の最新版はバージョン3.4.8です。)
3つ目は、アクティブインストール3万以上、総ダウンロード数41万以上の人気プラグイン『Social Media Widget by Acurax』にMULTIの脆弱性が発生しております。
このプラグインは、サイドバーにSNSのアイコンを表示できるプラグインです。
お使いの方は、バージョンの確認をすることを推奨します。
脆弱性はすでにアップデートによって修正済みで、バージョン3.2.6以上への更新によって塞ぐことができます。
(※2018年2月2日現在の最新版はバージョン3.2.6です。)
その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。
- Smooth SliderにてSQLインジェクション
- Simple Download Monitorにてクロスサイトスクリプティング(XSS)
- Media from FTPにてLFI
- wpglobusにてクロスサイトスクリプティング(XSS)
- Testimonial SliderにてSQLインジェクション
- ImageInjectにてクロスサイトスクリプティング(XSS)
内容別レポート
脆弱性の内容別発生件数は、1位がXSSで17件、2位がSQLインジェクションで6件、3位がその他で3件でした。
トピックス
12月度と比較して、脆弱性の数が増加しており、1位のクロスサイトスクリプティング(XSS)が2件、先月3位のSQLインジェクションが4件も増加しております。
脆弱性一覧
2018年1月の脆弱性一覧をまとめましたのでご参照ください。
以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。
脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。
また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。
また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。
但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。
表:2018年1月度脆弱性一覧
| 発見個所 | 脆弱性分類 | 脆弱性のある本体・プラグイン・テーマの名称 | 発見されたVer. |
| 本体 | XSS | MediaElement Cross-Site Scripting | 3.7-4.9.1 |
| テーマ | UNKNOWN | Enfold Theme | 4.2 |
| プラグイン | XSS | BuddyBoss Media | 3.2.3 |
| プラグイン | XSS | Dark Mode | 1.6 |
| プラグイン | REDIRECT | furikake | – |
| プラグイン | XSS | Share This Image | 1.03 |
| プラグイン | XSS | Pinterest Feed | 1.1.1 |
| プラグイン | XSS | Splashing Images | 2.1 |
| プラグイン | XSS | Affiliate Ads for Clickbank Products | 1.6 |
| プラグイン | XSS | Coming Soon | 1.1.18 |
| プラグイン | MULTI | GD Rating System | 2.3 |
| プラグイン | XSS | Booking calendar | 2.1.7 |
| プラグイン | XSS | Z-URL Preview | 1.6.2 |
| プラグイン | XSS | wpglobus | 1.9.6 |
| プラグイン | XSS | ImageInject | 1.15 |
| プラグイン | SQLI | User Control | – |
| プラグイン | XSS | srbtranslatin | 1.46 |
| プラグイン | XSS | Smart Google Code Inserter | 3.4 |
| プラグイン | SQLI | Smart Google Code Inserter | 3.4 |
| プラグイン | XSS | SagePay Server Gateway for WooCommerce | 1.0.8 |
| プラグイン | XSS | read-and-understood | 2.1 |
| プラグイン | SQLI | Dbox 3D Slider Lite | 1.2.2 |
| プラグイン | SQLI | YITH WooCommerce Wishlist | 2.1.2 |
| プラグイン | SSRF | Google Forms | 0.91 |
| プラグイン | SQLI | Testimonial Slider | 1.2.4 |
| プラグイン | SQLI | Smooth Slider | 2.8.6 |
| プラグイン | XSS | Simple Download Monitor | 3.5.3 |
| プラグイン | LFI | Media from FTP | 9.84 |
| プラグイン | AUTHBYPASS | Email Subscribers & Newsletters | 3.4.7 |
| プラグイン | MULTI | Social Media Widget by Acurax | 3.2.5 |
| プラグイン | LFI | Church Admin | 0.33.2.1 |
| プラグイン | CSRF | WordPress Download Manager | 2.9.60 |