-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2017-0006 JPCERT/CC 2017-02-06 <<< JPCERT/CC Alert 2017-02-06 >>> WordPress の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170006.html I. 概要 WordPress の REST API には、脆弱性が存在します。本脆弱性を悪用された 場合、リモートからの攻撃によって、WordPress のコンテンツが改ざんされる 恐れがあります。 すでに、本脆弱性を悪用する実証コードが公開されており、JPCERT/CC にて 実証コードを用いて検証した結果、WordPress のコンテンツが改ざんできるこ とを確認しました。また、対象となる WordPress を利用していると思われる 国内の複数のサイトが改ざん被害を受けています。また、本脆弱性を悪用した 改ざん事例も確認されています。 Web サイトを改ざんなどの攻撃から守るために、「III. 対策」に記載した 情報を参考に、早期の対応を行うことを推奨します。 II. 対象 対象となる製品とバージョンは以下の通りです。 - WordPress 4.7 及び 4.7.1 III. 対策 WordPress を以下の最新のバージョンに更新してください。 - WordPress 4.7.2 対策を適用するまでの間の保護として、WordPress にて REST API を使用し ない、REST API に対するアクセスを制限するなど、本脆弱性の影響を軽減す ることを検討してください。ただし、WordPress の動作変更を行う修正や、 Web サーバの設定を変更するなどの必要があります。 IV. 参考情報 WordPress WordPress 4.7.2 Security Release https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/ Sucuri Content Injection Vulnerability in WordPress https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html 独立行政法人情報処理推進機構 (IPA) WordPress の脆弱性対策について https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL:03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJYmBK5AAoJEDF9l6Rp7OBIqQQH/104O9XsEV9XopROVnBvP7dZ GkJmEUGSOjV3mftEOdv0bUwH69pH6iyZ3KjRnn+vxG0Gruopkido8T7/KfpNaOYH 0I/uwFowaVVbAhJVj7YUDbSoRCToBdW18iK2MW0nFh3OuJAYN/r8fHTAVA/2R88u R5ajhBMxBL7TlsHPhSwCI7c3C2gh5htZ5eH2hp1rSXALtYO/xiHcCDafoB2A+BaD 1HS5Diu9OMjwvgI3IAGYg0HPivr2hzBviuIJQlGIUsMUChcDSQvLs9iHED5AuKXO MkxgM5WEcSpjDAMiTZt5Tlq/ZEHxeNLJLc6pnlcEmYcdXCzXr3+mJmHoplwLtcs= =4sCQ -----END PGP SIGNATURE-----