- 2015年4月23日
- セキュリティについて
2015年第1四半期はWordPress プラグイン、テーマの脆弱性に注意-IPA-
IPA(独立行政法人情報処理推進機構)が
「ソフトウェア等の脆弱性関連情報に関する届出状況[2015年第1四半期(1月~3月)]」を発表しました。
その中にてWordPress プラグイン、テーマの脆弱性に対する注意喚起をしておりますので、ご紹介します。
2015年第1四半期は、41件の脆弱性対策情報がJVNに公表されました。
そのうち6件はCMS(Content Management System)の一種である「WordPress」の機能を拡張する部品ともいえる、「プラグイン」や「テーマ」というソフトウェアに作りこまれた脆弱性でした(表1-4)。
この6件の中にはウェブ改ざんや情報漏えいにつながる可能性のあるSQLインジェクションの脆弱性や、CAPCHAというウェブサイトへのアクセスが人間かを判別する画像認証機能が回避されてしまう脆弱性などがありました。
| JVN 公表日 |
JVN番号 | 脆弱性 | CVSS 基本値 |
|---|---|---|---|
| 2015/3/31 | JVN#75615300 | WordPress 用プラグイン「All in One SEO Pack」における情報管理不備の脆弱性 | 5.0 |
| 2015/3/26 | JVN#97281747 | WordPress 用テーマ「flashy」におけるクロスサイト・スクリプティングの脆弱性 | 4.3 |
| 2015/3/6 | JVN#87204433 | WordPress 用プラグイン「All In One WP Security & Firewall」におけるクロスサイト・リクエスト・フォージェリの脆弱性 | 2.6 |
| 2015/3/6 | JVN#30832515 | WordPress 用プラグイン「All In One WP Security & Firewall」における SQL インジェクションの脆弱性 | 5.1 |
| 2015/3/3 | JVN#55063777 | WordPress 用プラグイン「Google Captcha (reCAPTCHA) by Best-WebSoft」における CAPTCHA 保護メカニズムを回避される脆弱性 | 5.0 |
| 2015/3/3 | JVN#93727681 | WordPress 用プラグイン「Captcha」における CAPTCHA 保護メカニズムを回避される脆弱性 | 5.0 |
こちらの内容は、弊社記事のなかで速報としても告知しておりますので是非ご参照ください。
また、2014年1月から今四半期までのJVN iPediaに登録された、CMS本体とその“拡張機能”の脆弱性対策情報の合計件数は440件で、そのうち90%に相当する398件がCMSの“拡張機能”の脆弱性対策情報でした。(図1-2)
これは不特定多数の第3者が提供可能なマーケットスタイルが影響していると思います。
(提供:IPA)
製品開発者もCMS利用者の双方ともに気を付けることとして、問題が発生したらすぐに対応することです。
発生すること自体は仕方ありません。ただその後の対応が真価を問われます。
セキュリティ関連の対応スタンスはこれからの注目点になりそうです。
