WordPress 4.7 における REST API の脆弱性

no extension

WordPress は仕事でも私用でも使ってないのでスルーしてたのだが IPA と JPCERT/CC から注意喚起が出てたので紹介しておく。

WordPress 4.7.2 は1月末にリリースされ,この時に3つの脆弱性が公表されたが,それとは別に重大な脆弱性があったようだ。 WordPress 側は安全確保のため最新版がユーザに行き渡ったタイミングで発表を行ったと言っている1

この間にSucuriをはじめとするセキュリティ企業と連携し、攻撃が発生した場合でも各社のファイアウォールで防御できる態勢を確立。自動更新を通じてWordPressの更新版が行き渡り、できるだけ多くのユーザーが保護されるのを待ってから、情報を公開したという。

今回は,この4つ目の脆弱性に絞って紹介する。 他の3つについては以下を参照のこと。 (このうち CVE-2017-5611 のみ CVSSv3 基本評価値が7を大幅に超えている)

脆弱性の内容

バージョン 4.7 から REST API が WordPress Core に組み込まれたらしいのだが,そこに脆弱性があったようだ。 この脆弱性を利用すると REST API を使って認証を回避してコンテンツを書き換えることができる。 詳しくは以下の記事を参照のこと。

影響度(CVSS)

CVE-2015-7547 より

CVSSv3 基本評価値 5.3 ( CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

基本評価基準 評価値
攻撃元区分(AV) ネットワーク(N)
攻撃条件の複雑さ(AC) 低(L)
必要な特権レベル(PR) 不要(N)
ユーザ関与レベル(UI) 不要(N)
スコープ(S) 変更なし(U)
情報漏えいの可能性(機密性への影響, C) 低(L)
情報改ざんの可能性(完全性への影響, I) なし(N)
業務停止の可能性(可用性への影響, A) なし(N)

んー。 「情報改ざんの可能性」が「なし(N)」なわけないと思うのだが… ちなみに「情報改ざんの可能性」が「高(H)」なら基本評価値は 8.2 になる。

CVSS については解説ページを参照のこと。

影響を受ける製品

WordPress 4.7 および 4.7.1

対策・回避策

バージョン 4.7.2 にアップデートすること。 すぐにアップデートが難しい場合は REST API を無効化すること(Web サーバ側の設定変更等が必要)。

JPCERT/CC では

すでに、本脆弱性を悪用する実証コードが公開されており、JPCERT/CC にて実証コードを用いて検証した結果、WordPress のコンテンツが改ざんできることを確認しました。また、対象となる WordPress を利用していると思われる国内の複数のサイトが改ざん被害を受けています。また、本脆弱性を悪用した改ざん事例も確認されています。

と注意喚起を行っており,速やかに対策を実施する必要がある。

ブックマーク

CMS の管理について

参考図書

photo
フルスクラッチから1日でCMSを作る_シェルスクリプト高速開発手法入門 改訂2版 (アスキードワンゴ)
上田 隆一 (著), 後藤 大地 (著), USP研究所 (監修)
ドワンゴ 2019-07-05 (Release 2019-07-05)
Kindle版
B07TSZZPWN (ASIN)
評価     

既存の常識に凝り固まったソフトウェア・エンジニアに「痛恨の一撃」を加える快書もしくは怪書。

reviewed by Spiegel on 2014-09-21 (powered by PA-APIv5)


  1. こういう特定のセキュリティ企業と契約している企業ユーザが優遇される仕組みというのは良し悪しだと思うんだけどねぇ。まぁ最近の WordPress は自動更新機能を備えているらしいので,あまり深刻に考えないほうがいいのかもしれないが。 ↩︎