Webサイトの構築にて利用されるCMS(Contents Management System)であるWordPress には、新たな複数の脆弱性があるとして報告されています。結果として、遠隔の第三者が、任意の SQL 文を実行したり、ユーザのブラウザ上で任意のスクリプトを実行したりするなどの恐れがあります。
【対象範囲】
WordPress 4.8.2 より前のバージョン
関連文書 (英語)
WordPress
WordPress 4.8.2 Security and Maintenance Release
https://wordpress.org/news/2017/09/wordpress-4-8-2-security-and-maintenance-release/以下の脆弱性に対応しています。
・潜在的なSQLインジェクションを引き起こす予想外の安全ではないクエリを作成する可能性
・複数のクロスサイトスクリプティングの脆弱性
・ファイルのzip展開コードにディレクトリトラバーサルの脆弱性
・オープンリダイレクトがユーザとタームの編集画面に見つかった脆弱性
・カスタマイザーにディレクトリトラバーサルの脆弱性
WordPressを利用し、自社の公式Webサイトを運営している企業は非常に多いので、一度脆弱性が見つかると格好のゼロディ攻撃の対象になりやすいのです。脆弱性の深刻度にもよりますが、情報漏洩に直結するような脆弱性の場合、被害は甚大であることから、運営している担当者はつねに脆弱性情報には敏感でなければいけません。よく聞かれることですがではWordPressを使わなければいいのでは?については必ずしもそうとは思いません。ではWindowsをやめますか?と同じことで利用者が多いのはそれだけ利用しやすいソリューションだからです。もちろん利用者が少ないソリューションの方が攻撃は少なくなりますがそれでは本末転倒です。また最近はソリューションによっては脆弱性に自動パッチを当ててくれるものもあります。これらソリューションを利用し、脆弱性全般に総合的、かつ効率よく対応するようにしましょう。
PARTNER
