● スプレッドIT!

WordPress://深刻な脆弱性 2015/04/30付 大至急更新を!!

トレンドマイクロが4月30日、フィンランドのセキュリティリサーチャーJoukoPynnonen氏が報告したCMS「WordPress」の深刻な脆弱性について解説しました。

今回の事態は、JoukoPynnonen氏が4月26日(現地時間)のWordPressの脆弱性を報告しました。

その後、WordPressではセキュリティを強化した「WordPress4.2.1」を公開し、すべてのユーザーに更新するよう促しています。

脆弱性は、攻撃者が悪用することで、コメントやフォーラム、ディスカッションを通じて「クロスサイトスクリプティング(XSS)」を実行できるというもので、この手法は「蓄積型XSS」と呼ばれ、Webサイトが蓄積しているコンテンツ中にスクリプトを紛れ込ませることが出来てしまうというものです。

実行方法は、WordPressで作成されたブログやWebサイト上のコメント欄に、HTMLもしくはJavaScriptのコードとテキストを追加。コードはWordPressのデータベースに自動的に保存され、Webサイトの管理者が、ポータルサイトにアクセスすると、さらに不正なスクリプトが実行されます。

スクリプトは、バックドアを実行するシェルスクリプファイルをサーバーにアップロードしたり、管理者権限を利用して他のユーザを追加するなどのさまざまな不正活動を行うという凶悪さ。

これにより、攻撃者はアップロードしたシェルファイルを利用してサーバーにアクセスしたり、管理者権限により追加された新規のユーザを利用してログインできてしまいます。

管理者の承認や認識なしに裏で実行できてしまうため、殆どなんでも出来てしまうという危険度の高い脆弱性となります。
このエントリーをはてなブックマークに追加