- 2015年4月28日
- WordPress脆弱性情報
WordPress本体にまたも脆弱性、ブログのコメント欄からクロスサイトスクリプティング攻撃が可能。
先日セキュリティアップデートを行ったWordPressに、追加の脆弱性が報告されています。
この脆弱性はブログのコメント欄からクロスサイトスクリプティングの攻撃が可能となるというもの。
121320 | 2015-04-27 | WordPress Blog Comment Truncation Stored XSS | |||
WordPress contains a flaw that allows a stored cross-site scripting (XSS) attack. This flaw exists because the program does not validate input to truncated blog comments before returning it to users. This may allow a remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server. |
脆弱性が存在しているのは、WordPress 4.2、4.1.2、4.1.1、3.9.3 の各バージョン。先日セキュリティアップデートを行ったばかりなので、この脆弱性の発見は波紋を呼びそうです。
なお、ITmediaにおいて、開発者が「報告を無視された」と怒りを表明していると報じられています。
Klikkiによれば、この問題を悪用された場合、認証を受けない攻撃者がWordPressのコメントにJavaScriptを挿入して、サーバ上で任意のコードを実行したり、管理者パスワードの変更や新しい管理者アカウントの追加といった操作をすることが可能になるという。この脆弱性を突くコンセプト実証コードやデモ映像も公開している。
脆弱性報告を巡ってKlikkiは、「2014年11月からWordPressに連絡を取ろうと試みてきたが、すべて拒否された」と訴えていた。
事実であれば、WordPressの開発者側の怠慢も問われる可能性があります。欧米においては、セキュリティの脆弱性を隠していることは重大な罪だとみなされるからです。
現在、3.9.5、および4.2.1にアップデートを行っていない管理者は十分に気をつける必要があります。