日付 |
タイトル・内容 |
07日 |
|
07日 |
|
07日 |
|
07日 |
|
07日 |
|
06日 |
|
06日 |
|
|
|
【状況】
WordPressのバージョン「4.7」および「4.7.1」は、REST APIがデフォルトで有効となっており、必要な認証をせずにウェブサイトのコンテンツの投稿や編集、削除等の改ざんが可能。
脆弱性実証コードが公開済みのため、影響を受けるバージョンのWordPressを利用しているとみられる国内の複数のサイトが、改ざんの被害を受けた。
【経緯】
脆弱性は、1月26日に公開されたバージョン「4.7.2」で修正済だが、WordPressでは「何百万ものWordPressサイトの安全性確保のため」脆弱性情報を2月1日まで公表していなかった。
【対応】
・IPAとJPCERT/CCは、最新バージョンへの更新を推奨。
・一時的な回避策はREST APIを使用しないかREST APIへのアクセス制限を推奨。
・WordPressは、REST APIを無効にする公式プラグイン「Disable Embeds」を提供。
最新バージョンの4.7.2は、REST APIの脆弱性のほか、権限のないユーザーにPress Thisのタクソノミー語句を割り当てるユーザーインターフェースが表示される脆弱性、SQLインジェクションの脆弱性、クロスサイトスクリプティング(XSS)の脆弱性を修正済。 |
|
|
|
|
|
02日 |
|
01日 |
|
01日 |
|
01日 |
|
01日 |
|
01日 |
|
01日 |
|
01日 |
|