Pocket

WordPress 2018年4月_脆弱性レポート  2018/5/1

2018年4月度のWordPressに関する脆弱性レポートをお知らせします。

4月度全体の脆弱性報告件数としては19件でした。2018年3月度から1件増加しております。

個所別レポート

個所別の発生件数は、それぞれ本体が3件、テーマが0件、プラグインが16件でした。

本体に関しまして、今月は脆弱性が発生しております。
2018年2月ぶりの発生になります。

テーマに関しましては脆弱性が発生しませんでした。

また、先月に引き続き最多発生はプラグインとなり、脆弱性に気を配る必要があることがわかります。

トピックス

前述のとおり本体に関しましては、脆弱性が3件発生しております。

ブログにて速報しております通り、バージョン3.7-4.9.4にREDIRECTやクロスサイトスクリプティング(XSS)などの脆弱性が含まれています。

すでに対策バージョン4.9.5がリリースされており、WordPress 3.7以降のすべてのバージョンのセキュリティおよびバグを修正しました。

セキュリティに関しましては、以下の3つの脆弱性を修正しました。

  • 「wp_http_validate_url()」関数では、localhostが許可されている脆弱性。(localhostをhostとして扱えてしまう)
  • HTTPS通信(SSL)が強制されている状態で、ログインページにリダイレクトした時、安全なリダイレクトがされていない脆弱性。(「wp_safe_redirect()」関数の使用が強制されていない)
  • バージョンの文字列が「get_the_generator()」関数で正しくエスケープされていない脆弱性。

バグに関しましては、「PHP 7.2との互換性の向上」等を含む計25種類のバグが修正がされました。

(参照リンク:WordPress 4.9.5 Security and Maintenance Release

対策版に関しましては下表のとおりです。

現在ご利用のバージョン 対策済みバージョン
3.7~3.7.25 3.7.26
3.8~3.8.25 3.8.26
3.9~3.9.23 3.9.24
4.0~4.0.22 4.0.23
4.1~4.1.22 4.1.23
4.2~4.2.19 4.2.20
4.3~4.3.15 4.3.16
4.4~4.4.14 4.4.15
4.5~4.5.13 4.5.14
4.6~4.6.10 4.6.11
4.7~4.7.9 4.7.10
4.8~4.8.5 4.8.6
4.9~4.9.4 4.9.5

(※バージョン3.7未満に関しましては、最新バージョンの4.9.5にアップデートすることを推進します。)

 

 

テーマに関しましては前述のとおり、脆弱性が発生しませんでした。

 

 

プラグインに関しましては先月から2件減少し、16件の脆弱性が発見されました。そのうち有名プラグインに脆弱性が発見されました。

 

1つ目は、アクティブインストール40万以上、総ダウンロード数389万以上の人気プラグイン『Contact Form 7 to Database Extension』にCSV Injectionの脆弱性が発生しております。

このプラグインは、「Contact Form 7」の情報をデータベース上に保存するプラグインです。

お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン2.10.36以上への更新によって塞ぐことができます。
(※こちらのプラグインはセキュリティの問題により、WordPress 公式リポジトリから取り下げられています。)

 

2つ目は、アクティブインストール10万以上、総ダウンロード数192万以上の人気プラグイン『Relevanssi』にクロスサイトスクリプティング(XSS)などの脆弱性が発生しております。

このプラグインは、WordPressの検索機能を強化することができるプラグインです。

お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン4.0.5以上への更新によって塞ぐことができます。
(※2018年5月1日現在の最新版はバージョン4.0.9です。)

 

3つ目は、アクティブインストール10万以上、総ダウンロード数110万以上の人気プラグイン『Caldera Forms』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。

このプラグインは、コンタクトフォームが使用できるプラグインです。

お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、バージョン1.6.0以上への更新によって塞ぐことができます。
(※2018年5月1日現在の最新版はバージョン1.6.1です。)

 

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため、旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

  • UK Cookie Consentにてクロスサイトスクリプティング(XSS)
  • WP Live Chat Supportにてクロスサイトスクリプティング(XSS)
  • My Calendarにてクロスサイトスクリプティング(XSS)
  • woocommerce-csvimportにてRCE
  • Rating-Widget: Star Review SystemにてBYPASS
  • WordPress File Uploadにてクロスサイトスクリプティング(XSS)など

内容別レポート

脆弱性の内容別発生件数は、1位がXSSで8件、2位がその他で3件、3位がCSRFとRCEで2件でした。

トピックス

3月度と比較して、脆弱性全体の数が増加しておりますが、1位のクロスサイトスクリプティング(XSS)は1件減少しています。3位のCSRFとRCEが共に増加しております。

脆弱性一覧

2018年4月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。

脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で内容不明の分類が変更されている可能性もございますので、それもKYUBIにて最新の状態をご確認いただくことをお勧めします。

また、ご確認のタイミングによっては新たな脆弱性が発見されている可能性もございますので、こちらもKYUBIにて一度ご診断していただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。

但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2018年4月度脆弱性一覧

発見個所 脆弱性分類 脆弱性のある本体・プラグイン・テーマの名称 発見されたVer.
本体 UNKNOWN Remove localhost Default 3.7-4.9.4
本体 REDIRECT Use Safe Redirect for Login 3.7-4.9.4
本体 XSS Escape Version in Generator Tag 3.7-4.9.4
プラグイン LFI WP Background Takeover 4.1.4
プラグイン XSS Responsive Cookie Consent 1.7
プラグイン CSRF WP Image Zoom 1.23
プラグイン XSS Caldera Forms 1.5.9.1
プラグイン RCE buddypress-xprofile-custom-fields-type 2.6.3
プラグイン XSS WP Live Chat Support 8.0.05
プラグイン RCE woocommerce-csvimport 3.3.6
プラグイン XSS UK Cookie Consent 2.3.9
プラグイン BYPASS Rating-Widget: Star Review System 2.8.9
プラグイン CSRF Like Button Rating 2.5.3
プラグイン UNKNOWN Contact Form 7 to Database Extension 2.10.32
プラグイン XSS My Calendar 2.5.16
プラグイン UNKNOWN WordPress File Upload 4.3.2
プラグイン XSS WordPress File Upload 4.3.3
プラグイン XSS Relevanssi 4.0.4
プラグイン SQLI Relevanssi 3.6.0