JPCERTよりWordPressの脆弱性に関する通知がございましたので、下記の通りご報告させいただきます。
https://www.jpcert.or.jp/at/2017/at170006.html
概要
WordPressのREST APIには、脆弱性が存在します。本脆弱性を悪用された場合、リモートからの攻撃によって、WordPressのコンテンツが改ざんされる恐れがあります。
すでに、本脆弱性を悪用する実証コードが公開されており、JPCERT/CCにて実証コードを用いて検証した結果、WordPressのコンテンツが改ざんできることを確認しました。また、対象となる WordPressを利用していると思われる国内の複数のサイトが改ざん被害を受けています。また、本脆弱性を悪用した改ざん事例も確認されています。
Web サイトを改ざんなどの攻撃から守るために、「III. 対策」に記載した情報を参考に、早期の対応を行うことを推奨します。
対象
対象となる製品とバージョンは以下の通りです。
- WordPress4.7及び4.7.1
対策方法
WordPressを以下の最新のバージョンに更新してください。
- WordPress 4.7.2
対策を適用するまでの間の保護として、WordPressにてREST APIを使用しない、REST APIに対するアクセスを制限するなど、本脆弱性の影響を軽減することを検討してください。ただし、WordPressの動作変更を行う修正や、Web サーバの設定を変更するなどの必要があります。
参考情報
- WordPress
WordPress 4.7.2 Security Release
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/ - Sucuri
Content Injection Vulnerability in WordPress
https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html - 独立行政法人情報処理推進機構 (IPA)
WordPress の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html
備考
最終更新日 2017.02.08
