WordPress の脆弱性に関する注意喚起
最終更新: 2017-02-06
各位
JPCERT-AT-2017-0006
JPCERT/CC
2017-02-06
<<< JPCERT/CC Alert 2017-02-06 >>>
WordPress の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170006.html
I. 概要
WordPress の REST API には、脆弱性が存在します。本脆弱性を悪用された
場合、リモートからの攻撃によって、WordPress のコンテンツが改ざんされる
恐れがあります。
すでに、本脆弱性を悪用する実証コードが公開されており、JPCERT/CC にて
実証コードを用いて検証した結果、WordPress のコンテンツが改ざんできるこ
とを確認しました。また、対象となる WordPress を利用していると思われる
国内の複数のサイトが改ざん被害を受けています。また、本脆弱性を悪用した
改ざん事例も確認されています。
Web サイトを改ざんなどの攻撃から守るために、「III. 対策」に記載した
情報を参考に、早期の対応を行うことを推奨します。
II. 対象
対象となる製品とバージョンは以下の通りです。
- WordPress 4.7 及び 4.7.1
III. 対策
WordPress を以下の最新のバージョンに更新してください。
- WordPress 4.7.2
対策を適用するまでの間の保護として、WordPress にて REST API を使用し
ない、REST API に対するアクセスを制限するなど、本脆弱性の影響を軽減す
ることを検討してください。ただし、WordPress の動作変更を行う修正や、
Web サーバの設定を変更するなどの必要があります。
IV. 参考情報
WordPress
WordPress 4.7.2 Security Release
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/
Sucuri
Content Injection Vulnerability in WordPress
https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html
独立行政法人情報処理推進機構 (IPA)
WordPress の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ