WordPress Core のタイトル・リークの脆弱性 CVE-N/A:XML-RPC ピンバック機能に欠陥

Leaky WordPress: Private Post Titles at Risk for 1 Billion Sites

2025/05/20 SecurityOnline — WordPress で発見された脆弱性を、Imperva の研究者たちが公開した。この脆弱性を悪用する攻撃者は、WordPress プラットフォームの XML-RPCインターフェイスを介して、機密性の高い下書きや非公開の投稿タイトルを暴露する機会を得る。この機能は、約10億の Web サイトにおいて、デフォルトで有効化されているという。

Imperva は、「この脆弱性は、すべての WordPress サイトに対して、潜在的な影響を及ぼす可能性がある。その悪用に成功した攻撃者は、公開されるはずのない下書きや非公開コンテンツなどの、投稿タイトルを盗み出せる。一見すると軽微に思えるかもしれないが、その影響は深刻である」と述べている。

研究者たちは、「WordPress ブログ投稿から、下書きや非公開ポストのタイトルが漏洩すると、機密情報が時期尚早に公開され、企業に重大な損害を与えると思われる」と述べている

その事例として研究者たちが挙げるのは、2012年に Google が決算報告を時期尚早に発表し、数分で時価総額 $22 billion を失った件や、2019年の Fitbit 買収に関する情報漏洩により、規制当局の調査と市場の混乱を引き起こした件であり、このリスクを強調している。

この攻撃のコアは、WordPress の XML-RPC インターフェースにおける、ピンバック機能にある。この機能は、ブログにバックリンクを通知するために設計されたものだが、巧妙な偵察手法により悪用されてしまう。

この脆弱性は、ターゲット URL 内にフラグメント識別子を取り込むためのリクエストを、WordPress が解析する方法に存在する。それらのフラグメントをサーバが処理する際に、すべての投稿タイトルで一致するものが検索されるが、その中には、未公開の下書きや非公開コンテンツなども含まれてしまうという。

Imperva は、「この問題は、対象 URL にフラグメントが存在する場合に発生する。また、そこで用いられるクエリは、公開投稿だけではなく、非公開投稿や下書き投稿などの、すべてのブログ投稿に対して有効であり、一致した結果を返してしまう」と説明している。

この抜け穴は、oracle メカニズムと呼ばれている。つまり、巧妙に作成されたリクエストを送信する攻撃者は、そのレスポンスを分析することで、少しずつ情報を抽出できるようになる。

WordPress XML-RPC, pingback attack
Image: Imperva

攻撃者は、2つの方法により、oracle を調査できる。

エコーベースの調査:制御下にあるサーバに対して、固有のパターンを持つピンバックを送信する。そのパターンが非表示の投稿タイトルと一致する場合に、WordPress サーバはピンバックのロジックに従い、一致箇所を明らかにする。

タイミング・ベースの調査:タイミング・ベースのシグナルを利用する。Imperva の説明にあるように、一致した場合において、ピンバック関数に遅延を導入する (コードではsleep(1)を使用) ことで、応答時間を oracle として利用できる。

攻撃者たちは、タイトルに対して総当たり攻撃を仕掛けるのではなく、”Acquisition of”/”Acquired”/”Merger with” などの一般的な接頭辞から探索を始め、1文字ずつリクエストを絞り込んでいく。

Imperva の報告書によると、「脅威アクターたち、設定された最大タイトル・サイズに達するまでアルゴリズムを実行させる。必要なリクエスト数は、nbranch × alphabet_size × max_title_size で制限される」とのことだ。

この戦略により、サーバー・リクエスト数は、特に攻撃者がプロセスを自動化している場合において、現実世界での悪用に対して実行可能な範囲内に抑えられる。

この脆弱性を、WordPress に対して適切に報告した Imperva は、90日間の猶予をおいて公表している。Imperva が推奨するのは、以下の対策である:

  • 使用していない XML-RPC インターフェイスの無効化
  • 特にピンバック機能の無効化
  • リアルタイム保護のための WAF の使用

Imperva は、GitHub で無料の診断スクリプトを提供している。対象となるサイトが脆弱な場合には、”Your site is not protected against XML-RPC title leak attacks” というメッセージが表示されるはずだと警告している。

WordPress に、パスワード保護や非公開にした投稿のタイトルが漏洩する可能性がある脆弱性が発見されました。Core の脆弱性は、久々だと思います。のWordPress サイト管理者の皆さまは、文中の対応策の実施をご検討ください。よろしければ、WordPress で検索も、ご参照ください。