新着情報

WordPressの脆弱性対策について

2017/02/08

■概要

WordPress.org が提供する WordPress は、オープンソースのCMS(コンテンツマネジメントシステム)です。
WordPressには、REST API の処理に起因する脆弱性が存在します。

本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。

本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートを大至急実施してください。

WordPressのバージョンアップ方法

1)管理画面ログイン後下記画像赤枠の「今すぐ更新してください。」をクリック

2)下記画像赤枠の「今すぐ更新」ボタンをクリック

開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。

Sucuri 社によると、本脆弱性を悪用して多数のウェブサイトが改ざんされたとの情報がありますので、対策済みのバージョンへのアップデートを大至急実施してください。

■影響を受けるバージョン

WordPress 4.7.0 から WordPress 4.7.1
■対策

脆弱性の解消 – アップデートする

開発者が脆弱性を修正した最新版を公開していますのでアップデートを実施してください。

WordPress 4.7.2 Security Release
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

また、対策の際には下記レポートもご利用いただければ幸いです。

IPAテクニカルウォッチ「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」
https://www.ipa.go.jp/security/technicalwatch/20160928-1.html

■参考情報

Disclosure of Additional Security Fix in WordPress 4.7.2
https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/
Content Injection Vulnerability in WordPress 4.7 and 4.7.1 – Sucuri Blog
https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html
WordPress 4.7.1 の権限昇格脆弱性について検証した
http://blog.tokumaru.org/2017/02/wordpress-4.7.1-Privilege-Escalation.html
WordPressにおけるコンテンツインジェクションの脆弱性に関する調査レポート
https://www.softbanktech.jp/information/2017/20170203-01/?sid=topsld_rp_170203
WordPress の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170006.html
WordPress REST API Vulnerability Abused in Defacement Campaigns
https://blog.sucuri.net/2017/02/wordpress-rest-api-vulnerability-abused-in-defacement-campaigns.html

 

■本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター

この投稿は役に立ちましたか?

役に立った 役に立たなかった

0人中0人がこの投稿は役に立ったと言っています。