WordPress 6.0.2 で FIX した脆弱性:数百万の既存サイトに影響をおよぼす可能性

WordPress 6.0.2 Patches Vulnerability That Could Impact Millions of Legacy Sites

2022/08/31 SecurityWeek — 今週に WordPress チームは、深刻度の高い SQL インジェクションの欠陥などの、3つのセキュリティ脆弱性に対するパッチを含む、WordPress 6.0.2 をリリースした。1つ目の脆弱性は、以前はブックマークと呼ばれていた、WordPress のリンク機能に存在するものだ。このリンク機能は、新規のインストールではデフォルトで無効になっているため、古いインストールにのみに影響を及ぼす。

ただし、WordPress のセキュリティ会社である Defiant の Wordfence チームによると、何百万もの古い WordPress サイトでは、新しいバージョンを実行している場合でも、リンク機能が有効になっている可能性があるという。

Wordfence は、「このセキュリティ脆弱性 (CVSS:8.0) は、管理者権限を必要とし、デフォルトの設定では悪用が容易ではない。しかし、編集者レベル以下などの、権限の低いユーザーでも悪用できる、プラグインやテーマがあるかもしれない。脆弱なバージョンの WordPress は、特定の数のリンクのみを返すための get_bookmarks 関数の、リンク取得クエリである limit 引数を、正常にサニタイズできなかった」と述べている。

デフォルトの設定では、Links legacy widget のみが、ユーザが limit 引数を設定できるような方法で関数が呼び出される。ただし、従来のウィジェットの保護機能により、この脆弱性を利用することは容易ではない。

WordPress 6.0.2 で対処された残りの2つの脆弱性は、いずれも the_meta 機能の使用と、プラグインの非アクティブ化/削除エラーにより引き起こされる、中程度の深刻度のクロスサイト・スクリプティング (XSS) の脆弱性だ。

これらの脆弱性が悪用されると、投稿の meta キーや値に埋め込まれたスクリプト、または、プラグインの無効化やエラーによる削除時に表示される、メッセージに含まれる JavaScript コードが実行される可能性がある。

Web サイト管理者は、ただちに WordPress 6.0.2 に更新することが推奨される。このアップデートは、バックグラウンド更新をサポートするサイトへ向けて自動的に配信される。WordPress チームは、「パッチは WordPress 3.7 以降のバージョンにバックポートされている」と述べている。

WordPress に関するトピックとしては、2022年1月10日の「WordPress 5.8.3 がリリース:SQL injection/XSS などの脆弱性に対応」や、3月2日の「ウクライナの WordPress 防衛:Wordfence がリアルタイムの脅威インテリジェンスを提供」、5月21日の「WordPress サイトへの大規模攻撃:悪意の JavaScript コード注入とリダイレクトが多発」などがあります。また、それらとは別に、プラグインに関連するトピックも多数あります。よろしければ、WordPress で検索も、ご利用ください。

%d bloggers like this: