WordPress 5.8.3 security update fixes SQL injection, XSS flaws
2022/01/10 BleepingComputer — WordPress の開発チームは、4つの脆弱性 (そのうちの3つは深刻度 High) に対応した、短期サイクルのセキュリティ・リリースである Ver 5.8.3 をリリースした。このセットには、WP_Query での SQL インジェクション/WP_Meta_Query を介したブラインド SQL インジェクション/post slugs を介した XSS 攻撃/admin object インジェクションが含まれる。
すべての問題には、悪用のための前提条件があり、デフォルトの自動コア・アップデート設定を使用している、大半の WordPress サイトは危険な状況にはない。しかし、WordPress 5.8.2 以前のバージョンを使用しているサイトで、読み取り専用のファイル・システムを使用し、wp-config.php でコアの自動更新を無効にしている場合には、新たに発見された脆弱性に基づく攻撃を受ける可能性がある。
今回のセキュリティアップ・デートで対応された欠陥は以下の4つとなる。
- CVE-2022-21661: 深刻度 High (CVSS 8.0) WP_Query を介した SQL インジェクションの脆弱性。この欠陥は、WP-Query を使用するプラグインやテーマにより悪用される。修正されたバージョンは、WordPress 3.7.37 以下となる。
- CVE-2022-21662: 深刻度 High (CVSS 8.0) XSS の脆弱性。Authors (低権限のユーザー) が post slugs 悪用することで、バックドアの追加や、サイトの乗っ取りが可能になる。修正されたバージョンは、WordPress 3.7.37 以下となる。
- CVE-2022-21664: 深刻度 High (CVSS 7.4) SQL インジェクションの脆弱性。 WP_Meta_Query コアクラスを経由して発生する。修正されたバージョンは、4.1.34 以下となる。
- CVE-2022-21663: 深刻度 Medium (CVSS 6.6) オブジェクト・インジェクションの脆弱性。脅威アクターが管理者アカウントを侵害した場合にのみ、悪用される可能性がある。修正されたバージョンは、WordPress 3.7.37 以下となる。
これらの不具合が悪用されているという報告はなく、大半の WordPress サイトにおいて、深刻な影響が生じる可能性はないと考えられる。しかし、すべての WordPress サイトの所有者は、Ver 5.8.3 にアップグレード/ファイアウォール設定の見直し/WP コアアップデートの有効化を、確認することが推奨される。
この設定は、wp-config.php の define パラメータで確認できる。”define(‘WP_AUTO_UPDATE_CORE’, true );” としてほしい。コアアップデートの自動化は、2013年に WordPress 3.7 で導入されたが、公式統計によると、それより古いバージョンを運用している WP サイトは、全体の 0.7% に過ぎないとされる。
WordPress Core の脆弱性です。お隣のキュレーション・チームに確認したら、1月8日付でレポートをアップしているとのことでした。Plugin のバグは、けっこう多いのですが、Core は久しぶりなのかと思います。関連するポストとしては、2021年11月の「WordPress サイトがフェイク・ランサムウェアに攻撃されている」と、「GoDaddy の 120万人分のデータ侵害は Managed WordPress で起こった」がありました。ちなみに、このブログも WordPress ですが、.com のサービスを使っているので、ちょっと安心です。
IoT OT Security News 