IPA (JVNiPedia)のTwitterタイムラインを眺めていると、WordPressの脆弱性に関するつぶやきが、かなりの勢いで流れていることが分かりました。
WordPressの脆弱姓に関するつぶやきまとめ
同じつぶやきが複数回流れている場合もありましたので、選り分けてみました。すると、次の8種類の脆弱性が指摘されています。
WordPress の media-playlists 関数におけるクロスサイトスクリプティングの脆弱性 http://t.co/GSuA8loVsg
— IPA (JVNiPedia) (@JVNiPedia) 2014, 11月 27
WordPress の wp-login.php におけるクロスサイトリクエストフォージェリの脆弱性 http://t.co/j6EMUVOhdY
— IPA (JVNiPedia) (@JVNiPedia) 2014, 11月 27
WordPress の wptexturize 関数におけるクロスサイトスクリプティングの脆弱性 http://t.co/D0V1gBRWxR
— IPA (JVNiPedia) (@JVNiPedia) 2014, 11月 27
WordPress の Press This におけるクロスサイトスクリプティングの脆弱性 http://t.co/cH1LD6UqAc
— IPA (JVNiPedia) (@JVNiPedia) 2014, 11月 27
WordPress の wp-includes/class-phpass.php におけるサービス運用妨害 (DoS) の脆弱性 http://t.co/KH4idtOO4I
— IPA (JVNiPedia) (@JVNiPedia) 2014, 11月 27
WordPress におけるアクセス権を取得される脆弱性 http://t.co/gXfes6odhe
— IPA (JVNiPedia) (@JVNiPedia) 2014, 11月 27
WordPress におけるクロスサイトスクリプティングの脆弱性 http://t.co/qTrvMUcByg
— IPA (JVNiPedia) (@JVNiPedia) 2014, 11月 27
最新バージョン4.0.1へバージョンUPを
各つぶやきにあるリンクをクリックすると、JVNの脆弱性対策情報データベースのページに遷移し、それぞれ脆弱性の概要が説明されています。
ただ、対策については、すべてWordPress 4.0.1 Security Releaseのページを参考にするように紹介されています。
If you are still on WordPress 3.9.2, 3.8.4, or 3.7.4, you will be updated to 3.9.3, 3.8.5, or 3.7.5 to keep everything secure. (We don’t support older versions, so please update to 4.0.1 for the latest and greatest.)
すごく簡単に要約すると、「バージョン4.0.1がもっとも安全だから、早く最新版にバージョンUPしてください」ということですね。
ちなみに自分のダッシュボードを確認すると、すでに4.0.1へのバージョンUPが完了してました。キーワードノートさんで、バージョン確認について詳しく説明されています。
プラグインに関する脆弱性も
一連のつぶやきは、すべてWordPress本体の脆弱性についてのように見えますが、実は、WhyDoWork AdSenseというプラグインの脆弱性も指摘されています。
WordPress用 WhyDoWork AdSense プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 http://t.co/oJWkKlyDN1
— IPA (JVNiPedia) (@JVNiPedia) 2014, 11月 27
WORDPRESS.ORGで確認すると、2年以上更新されていないことが分かります。こちらの使用についても、くれぐれもご注意ください。
〔参考サイト〕