WordPress4.7系の脆弱性による実被害とは?

2017年2月にWordpress周りを騒がせたWordPress 4.7.0、WordPress 4.7.1の脆弱性ですが、結局どのような実被害が発生する脆弱性なのかをいまさらながらまとめてみました。

Ads by Google

WordPress4.7系の脆弱性による実被害とは?

脆弱性の内容

内容としては、WordPress 4.7.0、WordPress 4.7.1にコンテンツインジェクション可能な脆弱性の攻撃コードが発見されたというものです。

WordPressでデフォルトONになっているREST APIのアクセス権限処理に問題があって記事の新規投稿や更新、サイトの改ざんが出来てしまうわけです。

実被害を受けるとしたらどういうもの?

新規投稿や更新、サイトの改ざんが出来てしまうので、勝手に記事を投稿されたり、サイト内容を改ざんされたりするという被害が考えられます、そのまんまですが。

もちろん、マルウェアなんかを仕込むことだってできてしまいますよね。

被害を受けたサイト

被害をうけたことなんて普通は言いたくないでしょうが、いくつか確認できたのでご紹介します。

福島原発の復興情報HP
ふくしま 新発売。
秩父観光なび
宮城県教育情報システムみやぎSWAN II
福井県立病院
富岡製糸場と絹産業遺産群 (群馬県)
ゆくゆく ゆくはし (行橋市)
福井県自然保護センター
第50回アジア開発銀行年次総会 2017 (横浜市)
東京五輪・パラリンピック担当大臣公式サイト
丸川珠代五輪担当大臣の公式サイト
新潟青陵大学 本学公式ホームページ
日本小児循環器学会
東京家政学院大学
日本体育学会 不正アクセスによるHPのサーバ停止のお詫びと復旧のお知らせ
ねんざブログ
KEI SAKAKI’s PAGE.
海外販売をしよう!
Zバッファ

ざっと確認できたものをご紹介させていただきましたが、おそらくこれ以外にも無数に改ざんされたサイトはあるのだと思います。

分かりやすく改ざんされていれば良いですが、必ずしもそうとは限らないですからね。

脆弱性への対策方法

対策方法は簡単でWprdpresを4.7.2以降へバージョンアップすればOKです。

REST APIを無効化するようなプラグインもあるようですが、そんなものをいちいち導入するくらいならバージョンアップした方が良いでしょうね。

まとめ

WordPressに限る話ではありませんが、メジャーアップデートはバグ等が見つかる可能性があるので、要注意ですね。

REST APIも4.7から搭載された新機能で、その機能に脆弱性があったものです。

WordPressには3.7から自動更新の機能があるので、マイナーアップデートは自動化されていますが、メジャーアップデートは手動です。

新しいものを使ってみたくなる気持ちは分かりますが、少し様子を見てみることも必要かもしれません。

最新のIT関連情報を入手するならキーマンズネット

最新のIT関連情報を入手するならキーマンズネット無料会員登録


保存

Ads by Google

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

Ads by Google

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA