WordPress 用プラグイン TablePress における脆弱性(CVE-2017-10889)

WordPress 用プラグイン TablePress には、XML 外部実体参照 (XXE) 処理の脆弱性が存在するとして注意を促しています。WordPress 用プラグイン TablePress は、WordPress サイトで使用するテーブルを生成、管理するプラグインですが、当該プラグインの管理ページにアクセスできる「投稿者」以上の権限を持つユーザによって、サーバ上の任意のファイルにアクセスされる可能性があるとのことです。

【影響範囲】

TablePress 1.8.1 より前のバージョン

【対処方法】

開発者が提供する情報をもとに、最新版へアップデートしてください。

そもそも世界でもっとも利用されているCMS(Content Management System)の1つであるWordPressには、本来であれば必要となる認証を行わず、ウェブサイトのコンテンツの投稿や編集、削除といった改ざんができるという脆弱性がありました。(影響を受けるバージョンは、WordPress 4.7.0からWordPress 4.7.1) 今年の2月ころの事でしたが、このときはこの特権昇格の脆弱性を利用した攻撃により、改ざんされたページの総数は150万を超えているとされています。不正に権限の昇格が行われた場合、管理者しか実施できない操作を行うことが可能になります。例えば、不正アプリケーションのインストールや共有フォルダへの不正アクセスといったことができるようになります。これらを実行されると悪意を持った攻撃により、マルウェアのインストール、重要ファイルへアクセスして不正コピーによる情報漏えいなどが引き起こされます。攻撃者にとっては非常に魅力的な脆弱性と言えます。いつの間にかWebサイトが改ざんされ、サイトを見に来たユーザーがマルウェアに感染した場合、最悪の場合、改ざんされたサイトの運営が責任を追及されることもあり、知らなかったでは済まされません。Webサイトの管理者(サービス提供者であれ、請け負っている者であれ)脆弱性には敏感に対応しなければなりません。

詳細;JVN

関連情報;Web脆弱性診断サービス

 

<