[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

WordPress、7月に発見された深刻な脆弱性を修正



WordPress、7月に発見された深刻な脆弱性を修正
Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部 2016年09月12日 10時21分

index.iapp_thum630 WordPressは米国時間9月7日、同社のコンテンツ管理システム(CMS)で発見された深刻な脆弱性に対処するアップデートを公開した。同社はウェブ管理者に向けて、すぐさまアップデートを実施するよう呼びかけている。

 「WordPress 4.6.1」とともに公開されたセキュリティアドバイザリによると、このアップデートはクロスサイトスクリプティング(XSS)を可能にする脆弱性と、パストラバーサル関連の不備という、2つの深刻なセキュリティ上の問題に対処しているという。

 XSSを可能にする脆弱性は、7月にオランダのセキュリティ関連コミュニティーが開催したバグ発見プログラム「Summer of Pwnage」において、SumOfPwnの研究者であるCengiz Han Sahin氏が発見したものだ。この脆弱性を悪用することで、攻撃者はある種の仕掛けを施した画像ファイルを作成してWordPressにアップロードするという手段によって、悪意のあるJavaScriptコードを注入できるようになる。

 この脆弱性を悪用すれば、遠隔地から悪意のあるコードを実行できるだけでなく、セッショントークンやログイン認証情報の奪取を含むさまざまな攻撃が可能になる。

 パストラバーサルに関する深刻な脆弱性は、アップグレードパッケージのアップローダ内に存在している。これは、WordPressセキュリティチームのDominik Schilling氏によって発見された。

 WordPressによると、これらの問題は4.6.1よりも前のすべてのバージョンに存在しているという。また同社は今回のアップデートで、「WordPress 4.6」に存在している15件のバグについても修正している。こういったバグには、サーバの設定時における電子メール関連の問題や、アイキャッチ画像(サムネイル)のプレビュー時におけるおかしな挙動、プラグインインストール時に発生する無限ループの問題などが含まれている。

 WordPress関連の脆弱性としてはこの他にも6月に、「WP Mobile Detector」プラグイン内でゼロデイ脆弱性が発見されている。その際には、同製品が稼働する1万以上のウェブサイトに危険が及んでいるとセキュリティ研究者らは警告していた。





FavoriteLoadingお気に入りAdd to favorites
WP向けカートプラグイン旧版にSQLインジェクションの脆弱性... WP向けカートプラグイン旧版にSQLインジェクションの脆弱性 コンテンツマネジメントシステム「WordPress」向けに提供されているショッピングサイト構築用プラグイン「Welcart」の旧版に脆弱性が含まれていることがわかった。「同1.5.3」以降で修正されているという。 脆弱性情報の...
ISISと称する攻撃者によるWebサイト改ざん、WordPressプラグイン「Fancybox fo... ISISと称する攻撃者によるWebサイト改ざん、WordPressプラグインの脆弱性を悪用か キヤノンITソリューションズは3月20日、セキュリティ情報を提供する「マルウェア情報局」で「Islamic State (ISIS)」と称する攻撃者により、複数のWebサイトが改ざんされる...
WordPress向けフォームプラグイン「Ninja Forms」に脆弱性... WordPress向けフォームプラグインに脆弱性 WordPress向けに提供されているフォームプラグイン「Ninja Forms」に脆弱性が含まれていることがわかった。 「同2.9.18」にクロスサイトスクリプティングの脆弱性が含まれていたもので、以前のバージョンも影響を受ける。 ...
WordPressのスマホ対応用プラグインにXSSの脆弱性... WordPressのスマホ対応用プラグインにXSSの脆弱性 スマートフォン向けの配信に利用されるWordPress向けプラグイン「WP Mobile Detector」に脆弱性が含まれていることがわかった。アップデートが公開されている。 同3.2以前のバージョンにクロスサイトスク...
「WordPress 4.7.3」公開 – セキュリティ以外でも39件を修正... 「WordPress 4.7.3」公開、XSSなど6件の脆弱性を修正 2017年3月7日 11:59  WordPressは6日、ブログツール「WordPress」のセキュリティアップデートとなるバージョン「4.7.3」を公開した。クロスサイトスクリプティング(XSS)の脆弱性3件や、クロス...
WordPressプラグイン「CCTM」にバックドア見つかる... WordPressプラグイン「CCTM」にバックドア見つかる 世界で最も多く使われているCMSであるWordPressは、ユーザーが多いことからサイバー攻撃の対象とされるケースが多い。また、WordPressをカスタマイズする目的で使われるプラグインに脆弱性が見つかることも多く、プラグインも...
公開済「WordPress 4.7.2」では深刻な脆弱性を修正 – 1週間遅れで情報開示... 公開済「WordPress 4.7.2」では深刻な脆弱性を修正 - 1週間遅れで情報開示 コンテンツマネジメントシステム(CMS)である「WordPress」の開発チームは、1月26日にセキュリティリリースとして公開した「WordPress 4.7.2」において、当初明らかにしていた脆弱性にく...
WP人気SEOプラグイン「WordPress SEO by Yoast」にブラインドSQLiやCSR... WP人気SEOプラグインにブラインドSQLiやCSRFの脆弱性 コンテンツマネジメントシステム(CMS)の「WordPress」向け提供されているプラグイン「WordPress SEO by Yoast」において複数の脆弱性が修正された。 同製品は、WordPressにおいてサーチエンジ...
XSSやSQLiなど複数の脆弱性を修正した「WordPress 4.2.4」... XSSやSQLiなど複数の脆弱性を修正した「WordPress 4.2.4」 複数の脆弱性を修正したコンテンツマネジメントシステム(CMS)の新版「WordPress 4.2.4」の提供が開始された。前回のアップデート「同4.2.3」から、わずか2週間弱での公開となる。 今回の更新は、S...
「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在... 2015年04月28日 07時01分 更新 「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在 セキュリティ企業によれば、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在する。  W...




コメントを残す