WordPressはオープンソースのCMS(コンテンツマネジメントシステム)です。

多くのWebサイトで利用されていますが、今月6日にJPCERT、

IPA(情報処理推進機構)にて脆弱性に関する注意喚起が行われています。

WordPressの脆弱性情報の共有とSniperシリーズでの対策としてシグネチャー緊急リリースをいたします。

本記事はこちらよりPDFにてご覧頂けます。


注意喚起:WordPressの脆弱性情報と
Sniperシリーズの緊急シグネチャーリリースについて

 

1.概要

 WordPress.org が提供する WordPress は、オープンソースのCMS(コンテンツマネジメントシステム)です。多くのWebサイトで利用されておりますが、2017年2月6日にJPCERT、IPAにて脆弱性に関する注意喚起が行われております。今回の脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。

 IPAの2月7日情報によると、Sucuri 社からの情報で本脆弱性を悪用して多数のウェブサイトが改ざんされたとの情報がありますので、対策済みバージョンへのアップデートを大至急実施する必要があります。(後述の参考情報を参照ください。)

  

2.脆弱性情報詳細

 (1)対象となる製品とバージョン

    - WordPress 4.7 及び 4.7.1

 (2)対策

   WordPress を以下の最新のバージョンに更新する。

    - WordPress 4.7.2 (1月26日リリース)

 (3)対策までの対応方法

     JPCERT/CCからは以下の対応方法が提示されています。

      「対策を適用するまでの間の保護として、WordPress にて REST API を使用しない、REST API に対するアクセスを制限するなど、本脆弱性の影響を軽減することを検討してください。ただし、WordPress の動作変更を行う修正や、Web サーバの設定を変更するなどの必要があります。」

 

3. Sniper IPS, Sniper ONEでの対策シグネチャー緊急リリース

 Sniper IPS, Sniper ONEのシリーズは今回の脆弱性に対するシグネチャーを2月13日付けで緊急リリース致しました。今回のようにシステムの脆弱性が見つかってもバージョンアップなどのシステム更新が必要で早急に対応できない場合に、Sniper IPS等のセキュリティ製品による多層防御システムは有効です。

シグネチャーコード

シグネチャー名

脆弱性システム

3414

WordPress REST Api Privilege Escalation

WordPress 4.7.0/4.7.1

 

<参考情報>

    ■WordPressWordPress 4.7.2 Security Release

    ■JPCERT/CC : JPCERT-AT-2017-0006 WordPress の脆弱性に関する注意喚起

    ■Sucuri  Content Injection Vulnerability in WordPress

    ■独立行政法人情報処理推進機構 (IPA) WordPress の脆弱性対策について