[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

公開済「WordPress 4.7.2」では深刻な脆弱性を修正 – 1週間遅れで情報開示



公開済「WordPress 4.7.2」では深刻な脆弱性を修正 – 1週間遅れで情報開示

コンテンツマネジメントシステム(CMS)である「WordPress」の開発チームは、1月26日にセキュリティリリースとして公開した「WordPress 4.7.2」において、当初明らかにしていた脆弱性にくわえ、影響が大きい「コンテンツインジェクション」の脆弱性を修正していたことを明らかにした。

リリース当初、開発チームでは3件の脆弱性へ対処したと公表していたが、くわえて特権の昇格が生じる「REST API」の脆弱性1件についても修正していたことを明らかにしたもの。深刻な影響を及ぼすことから、情報開示をリリースより1週間遅らせたという。

問題の「REST API」は、「同4.7.0」以降においてデフォルトで有効になっている機能。今回修正された脆弱性を悪用することで、認証なくコンテンツを投稿したり、ページの内容を編集することが可能となる。

1月20日にSucuriが同脆弱性を報告したが、当時悪用は観測されておらず、開発チームでは同社や他ウェブアプリケーションファイアウォール(WAF)ベンダーと協調。攻撃へ対応するWAFのルール追加など作業を進めていた。

またリリース直前となる同月25日の時点で、WordPressのホスティングサービスやWAFにおいて脆弱性が悪用された形跡は確認されていなかったことから、自動アップデートによる適用が行われる期間をおいて、情報開示することに決めたという。

(Security NEXT – 2017/02/03 )





FavoriteLoadingお気に入りAdd to favorites
WordPressに脆弱性 – US-CERT United States Computer Emergency Readiness Team (US-CERT)は5月9日(米国時間)、「WordPress Releases Security Update」において、WordPress 4.5.1およびこれよりも前のバージョンに2つのセキュリティ...
WordPressへ「お気に入り機能」を追加するプラグインにXSSの脆弱性... WordPressへ「お気に入り機能」を追加するプラグインにXSSの脆弱性 コンテンツマネジメントシステム(CMS)のWordPress向けに提供されているプラグイン「WP Favorite Posts」に脆弱性が含まれていることがわかった。 同プラグインは、WordPressへ「お気に...
Lenovo、今度はThinkPadにユーザーデータ収集ソフトを潜ませていた... 2015年9月25日 20時59分 Lenovo、今度はThinkPadにユーザーデータ収集ソフトを潜ませていた 今年2月、中国メーカーのLenovoが、販売しているノートパソコンへ密かに凶悪なアドウェアを混入していることが発覚しましたが、今回新たに、ユーザーデータを収集するソフトウェアを埋...
60万以上のサイトで導入済のWordPress用フォームプラグイン「Ninja Forms」に脆弱性... 60万以上のサイトで導入済のWordPress用フォームプラグインに脆弱性 コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「Ninja Forms」に、SQLインジェクションの脆弱性が判明した。 同プラグインは、フォーム機能を追加できるソフ...
WordPress向けネットショッププラグイン「Welcart e-Commerce」に脆弱性... WordPress向けネットショッププラグインに脆弱性 eコマースサイトを構築できるWordPress向けプラグイン「Welcart e-Commerce」に複数の脆弱性が含まれていることがわかった。 脆弱性情報のポータルサイトであるJVNによれば、「同1.4.17」や以前のバージョンに...
「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在... 2015年04月28日 07時01分 更新 「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在 セキュリティ企業によれば、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在する。  W...
ワードプレスの脆弱性問題で6万件以上の改ざん被害、日本でも攻撃量が急増... ワードプレスの脆弱性問題で6万件以上の改ざん被害、日本でも攻撃量が急増 2017年02月10日 12時19分 Sucuri社のブログ 株式会社サイバーセキュリティクラウドは9日、同社によるサイバーセキュリティに関する意識喚起「サイバー攻撃速報」において、WordPressの脆弱性を狙うサイバ...
WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導... WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導 改ざんされたWordPressサイトやJoomlaサイトをユーザーが閲覧すると、悪質なWebサイトへリダイレクトされ、ランサムウェアの「TeslaCrypt」に感染する恐れがある。  ユーザーをランサムウェア(身代金...
WordPress用プラグイン「Welcart e-Commerce」の脆弱性を公表... IPAとJPCERT/CC、WordPress用プラグイン「Welcart e-Commerce」の脆弱性を公表 2016年6月24日 16:50  独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は24日、...
古いバージョンのWordPressとDrupalがパナマ文書漏洩に関与か... 古いバージョンのWordPressとDrupalがパナマ文書漏洩に関与か WordPressに関する記事を専門的に掲載しているWordPress Vaternに4月6日(米国時間)に掲載された記事「Outdated and Vulnerable WordPress and Drupal V...

コメントを残す