WordPress Issues Urgent Security Update to Patch Multiple Vulnerabilities
2024/06/25 SecurityOnline — 世界有数の CMS である WordPress が、6月24日にリリースした WordPress 6.5.5 は、無数の Web サイトをサイバー攻撃にさらす可能性のある、3つの重大な脆弱性に対処したものだ。
社内外のセキュリティ研究者たちにより発見され、今回のアップデートで修正された脆弱性は以下の3つだ:
- CVE-2024-6307 (CVSS 6.4):HTML API の XSS (Cross-Site Scripting) の脆弱性:この脆弱性の悪用に成功した攻撃者は、悪意のスクリプトを Web ページに注入することが可能になり、データの盗難/Web サイトの改ざん/有害なサイトへのリダイレクトなどにつなげる可能性を手にする。
- CVE-2024-6305 (CVSS 6.4):テンプレートパーツ・ブロックの XSS の脆弱性:この脆弱性は、 攻撃者に悪意のスクリプトの実行をゆるし、Web サイトのセキュリティがさらに損なわれる可能性を生じる。
- CVE-2024-6306 (CVSS 4.3):Windows でホストされたサイトにおけるパス・トラバーサルの脆弱性:この脆弱性の悪用に成功した攻撃者は、Web サーバ上の許可されていないファイルやディレクトリへのアクセスが可能となり、機密情報の漏洩やシステムの侵害へとつなげる可能性を手にする。
すでに WordPress 開発チームは、これらの脆弱性の重大性を認め、バージョン 6.5.5 をリリースしている。すべてのユーザーに対して強く推奨されるのは、WordPress のインストールをバージョン 6.5.5 へと、直ちにアップデートすることだ。
これらの脆弱性の悪用に成功した攻撃者は、機密データへの不正アクセス/Web サイト・コンテンツの操作/マルウェアの拡散/Web サイトの完全な制御の獲得などを達成し、Web サイトの所有者に壊滅的な結果をもたらす可能性を手にする。
WordPress 6.5.5 未満を実行している、すべての Web サイトに、これらの脆弱性が存在する。自動アップデートを有効化している WordPress ユーザーの場合には、自動的にアップデートが実行される。また、手動で更新する場合もは、WordPress のダッシュボードから操作することも可能であり、また、WordPress の Web サイトから最新バージョンを直接ダウンロードすることも可能だ。
いつもの WordPress Plugin ではなく、今回は WordPress Core の脆弱性ですので、Web サイトの管理者の方は、十分に ご注意ください。関連情報としては、2024/05/03 の「WordPress Core の脆弱性 CVE-2024-4439 が FIX:とても危険な蓄積型 XSS」と、2024/04/10 の「WordPress Core に脆弱性:バージョン 6.5.2 への移行を急いでほしい」があります。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.