[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

WordPress、7月に発見された深刻な脆弱性を修正



WordPress、7月に発見された深刻な脆弱性を修正
Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部 2016年09月12日 10時21分

index.iapp_thum630 WordPressは米国時間9月7日、同社のコンテンツ管理システム(CMS)で発見された深刻な脆弱性に対処するアップデートを公開した。同社はウェブ管理者に向けて、すぐさまアップデートを実施するよう呼びかけている。

 「WordPress 4.6.1」とともに公開されたセキュリティアドバイザリによると、このアップデートはクロスサイトスクリプティング(XSS)を可能にする脆弱性と、パストラバーサル関連の不備という、2つの深刻なセキュリティ上の問題に対処しているという。

 XSSを可能にする脆弱性は、7月にオランダのセキュリティ関連コミュニティーが開催したバグ発見プログラム「Summer of Pwnage」において、SumOfPwnの研究者であるCengiz Han Sahin氏が発見したものだ。この脆弱性を悪用することで、攻撃者はある種の仕掛けを施した画像ファイルを作成してWordPressにアップロードするという手段によって、悪意のあるJavaScriptコードを注入できるようになる。

 この脆弱性を悪用すれば、遠隔地から悪意のあるコードを実行できるだけでなく、セッショントークンやログイン認証情報の奪取を含むさまざまな攻撃が可能になる。

 パストラバーサルに関する深刻な脆弱性は、アップグレードパッケージのアップローダ内に存在している。これは、WordPressセキュリティチームのDominik Schilling氏によって発見された。

 WordPressによると、これらの問題は4.6.1よりも前のすべてのバージョンに存在しているという。また同社は今回のアップデートで、「WordPress 4.6」に存在している15件のバグについても修正している。こういったバグには、サーバの設定時における電子メール関連の問題や、アイキャッチ画像(サムネイル)のプレビュー時におけるおかしな挙動、プラグインインストール時に発生する無限ループの問題などが含まれている。

 WordPress関連の脆弱性としてはこの他にも6月に、「WP Mobile Detector」プラグイン内でゼロデイ脆弱性が発見されている。その際には、同製品が稼働する1万以上のウェブサイトに危険が及んでいるとセキュリティ研究者らは警告していた。





FavoriteLoadingお気に入りAdd to favorites
ISISと称する攻撃者によるWebサイト改ざん、WordPressプラグイン「Fancybox fo... ISISと称する攻撃者によるWebサイト改ざん、WordPressプラグインの脆弱性を悪用か キヤノンITソリューションズは3月20日、セキュリティ情報を提供する「マルウェア情報局」で「Islamic State (ISIS)」と称する攻撃者により、複数のWebサイトが改ざんされる...
古いバージョンのWordPressとDrupalがパナマ文書漏洩に関与か... 古いバージョンのWordPressとDrupalがパナマ文書漏洩に関与か WordPressに関する記事を専門的に掲載しているWordPress Vaternに4月6日(米国時間)に掲載された記事「Outdated and Vulnerable WordPress and Drupal V...
WordPress、人気eコマースサイトプラグインに脆弱性... WordPress、人気eコマースサイトプラグインに脆弱性 11月22日(米国時間)、Threatpostに掲載された記事「WordPress Plugins Leave Online Shoppers Vulnerable|Threatpost|The first stop for se...
「WPTouch」など多数のWordPressプラグインに脆弱性... 「WPTouch」など多数のWordPressプラグインに脆弱性 WordPress向けに提供されている複数のプラグインから、クロスサイトスクリプティングの脆弱性が見つかっているとして、セキュリティベンダーが注意を呼びかけている。関数の誤使用に起因し、多数のプラグインが影響を受けているという。...
WordPress人気フォトギャラリープラグイン「NextGEN Gallery」に脆弱性... WordPress人気フォトギャラリープラグインに脆弱性 Threatpostに3月1日(米国時間)に掲載された記事「Million-Plus WordPress Sites Exposed by Vulnerable Plugin|Threatpost|The first stop fo...
WordPress向けフォームプラグイン「Ninja Forms」に脆弱性... WordPress向けフォームプラグインに脆弱性 WordPress向けに提供されているフォームプラグイン「Ninja Forms」に脆弱性が含まれていることがわかった。 「同2.9.18」にクロスサイトスクリプティングの脆弱性が含まれていたもので、以前のバージョンも影響を受ける。 ...
WordPress向けGoogle Analytics連携プラグイン「Google Analytic... WordPress向けGoogle Analytics連携プラグインにXSSの脆弱性 WordPressにおいてGoogle Analyticsとの連携機能を実現するプラグイン「Google Analytics by Yoast」にクロスサイトスクリプティングの脆弱性が含まれていること...
「WordPress」に深刻な脆弱性 – セキュリティ更新が公開... 「WordPress」に深刻な脆弱性 - セキュリティ更新が公開 コンテンツマネージメントシステム(CMS)の「WordPress」に、深刻な脆弱性が含まれていることがわかった。脆弱性を解消するセキュリティアップデートが公開されており、早急に更新するよう強く推奨されている。 セキュリティ...
IPA、WordPressの脆弱性対策で最新版へのアップデートを呼びかけ... IPA、WordPressの脆弱性対策で最新版へのアップデートを呼びかけ 2017/02/06 19:21  独立行政法人情報処理推進機構(IPA)は2月6日、WordPressの脆弱性対策について発表した。 影響を受けるバージョンは、WordPress 4.7.0からWordPres...
WordPressの脆弱性を悪用したキャンペーンが発生... WordPressの脆弱性を悪用したキャンペーンが発生 Zscalerは9月25日(米国時間)、「Zscaler Research: Compromised WordPress Campaign - Spyware Edition」において、WordPressの脆弱性を悪用してユーザにマルウェ...




コメントを残す