WordPress の脆弱性に関する注意喚起

 JPCERT/CCからの「WordPress の脆弱性に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2017-0006
JPCERT/CC
2017-02-06
<<< JPCERT/CC Alert 2017-02-06 >>>
WordPress の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170006.html

I.概要

 WordPress の REST API には、脆弱性が存在します。本脆弱性を悪用された場合、リモートからの攻撃によって、WordPressのコンテンツが改ざんされる恐れがあります。
 すでに、本脆弱性を悪用する実証コードが公開されており、JPCERT/CC にて実証コードを用いて検証した結果、WordPress のコンテンツが改ざんできることを確認しました。また、対象となる WordPress を利用していると思われる国内の複数のサイトが改ざん被害を受けています。また、本脆弱性を悪用した改ざん事例も確認されています。
Web サイトを改ざんなどの攻撃から守るために、「III. 対策」に記載した情報を参考に、早期の対応を行うことを推奨します。

II.対象

 対象となる製品とバージョンは以下の通りです。

– WordPress 4.7 及び 4.7.1

III.対策

 WordPress を以下の最新のバージョンに更新してください。

– WordPress 4.7.2
対策を適用するまでの間の保護として、WordPress にて REST API を使用しない、REST API に対するアクセスを制限するなど、本脆弱性の影響を軽減することを検討してください。ただし、WordPress の動作変更を行う修正や、Web サーバの設定を変更するなどの必要があります。

IV. 参考情報

WordPress
WordPress 4.7.2 Security Release
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

Sucuri

Content Injection Vulnerability in WordPress
https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

独立行政法人情報処理推進機構 (IPA)

WordPress の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/