WordPressテーマのベストセラー、BBE themeに脆弱性。

プラグインに脆弱性が含まれていることは珍しくないですが、もちろんWordPressのテーマにも脆弱性は含まれています。

今回の脆弱性タイプは、CWE(Common Weakness Enumeration)-254

 

ここでCWEとはなんぞや?という方もいると思いますので、下に引用します。

共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)(*1)は、ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準を目指しています。

1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.0が公開されました。

CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するための、脆弱性の種類(脆弱性タイプ)の一覧を体系化して提供しています。CWEを用いると、ソフトウェア開発者やセキュリティ専門家などに次のようなメリットがあります。

ソフトウェアのアーキテクチャ、デザイン、コードに内在する脆弱性に関して、共通の言葉で議論できるようになる。
脆弱性検査ツールなど、ソフトウェアのセキュリティを向上させるための、ツールの標準の評価尺度として使用できる。
脆弱性の原因を認識し、脆弱性の低減を行い、再発を防止するための共通の基準として活用できる。
現在、CWEは、NIST(*3)のNVD(*4)、OWASP(*5)のTop Ten Project(*6)や、いくつかのセキュリティベンダーなどで実際に活用されています。

脆弱性のタイプが分かれば、開発者もそれを利用する側も、ある程度のあたりがつけられる、という意味では有用な情報だとは思いますが、一方で、素人にはちんぷんかんぷんですね。

まあ、素人は細かいことを考えずに、とにかくアップデートしておけ、という話なのかもしれません。

 

ちなみに、今回のBEE themeは結構売れているWordPressのテーマらしく、テーマ販売のECサイトでもプロモーションされていたり、リスティング広告も行われており、ちゃんと売られている感じです。

まあ、売れているがゆえに、アップデートしてもらえる部分があるので、できるだけメジャーなテーマーを使う、というのはこの世界の鉄則かもしれません。

 

LINEで送る
Pocket

こんな記事も読まれています