2015.04.27 23:35|カテゴリ:Security

WordPress 4.2等にゼロデイ脆弱性 コメントを有効にしていると攻撃される可能性あり


 WordPressの現在の最新バージョン 4.2およびいくつかのバージョンにはXSSの脆弱性が存在します。現在、修正したバージョンはまだリリースされていないため、いわゆるゼロデイ脆弱性となります。

 発見したのは、フィンランドのセキュリティ企業「Klikki Oy」の専門家Jouko Pynnönen氏。詳細が「Klikki Oy」のサイトで公開されています。
 
Klikki Oy - WordPress 4.2 Stored XSS
Current versions of WordPress are vulnerable to a stored XSS. An unauthenticated attacker can inject JavaScript in WordPress comments. The script is triggered when the comment is viewed.



 また、同脆弱性の悪用を実証したデモをYouTube上に公開しています。
 


 この脆弱性の悪用により、サーバ上で任意のコードを実行したり、管理者のパスワードを変更したり、新規に管理者アカウントを作成することができます。
 

 脆弱性が確認されているのは、最新のWordPress4.2および4.1.2、4.1.1、3.9.3。
 
 WordPress4.1.1以前のバージョンには別の深刻なクロスサイトスクリプティング脆弱性が存在するので、これらはさらに攻撃のリスクを抱えることになります。
 
WordPressユーザに告ぐ すみやかに脆弱性を修正したVer4.1.2にアップデートせよ|I believe in technology
WordPress4.1.1以前のバージョンに存在する深刻なクロスサイトスクリプティング脆弱性を修正したVer4.1.2が公開されました。この脆弱性を悪用すると、第三者が該当のサイトに対し不正操作を行うことが可能になります。



 攻撃はWordPressのコメント機能を利用して行われます。
 
 修正バージョンが出るまでは、コメント機能を無効にするか、スパムコメントを自動的に分類するプラグイン「Akismet」(すでにこの攻撃をブロックするように設定されています)をインストールすることで攻撃による被害を軽減することが可能です。
 
 WordPress利用者は、まずは上記軽減策の採用を検討しましょう。また、そのうち出るであろう修正バージョンへのアップデートをに備えましょう。

関連記事

 
#WordPressのゼロデイ脆弱性を修正する 4.2.1 Security Release登場|I believe in technology
昨夜、本ブログでもお伝えしたWordPress 4.2、4.1.2、4.1.1、3.9.3 に存在する XSS脆弱性に対するセキュリティリリースとして Ver4.2.1 が出ました。


日本語版出ました!


WordPress利用者は確認を!日本語版WordPress 4.2.1 がリリース|I believe in technology
先日、本ブログでもお伝えしたWordPress 4.2、4.1.2、4.1.1、3.9.3 に存在する XSS脆弱性に対するセキュリティリリース Ver4.2.1 の日本語版が出ました。



 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。