WordPress開発チームは、4つの脆弱性(うち3つは重要度が高いと評価されている)に対応したセキュリティリリースであるバージョン5.8.3をリリースしました。
内容は、WP_QueryでのSQLインジェクション、WP_Meta_Query経由のブラインドSQLインジェクション、投稿スラッグ経由のXSS攻撃、管理者オブジェクトインジェクションへの対応になります。
すべての問題は、悪用されるための前提条件があり、デフォルトの自動コアアップデート設定を使用しているほとんどのWordPressサイトは危険にさらされることはありません。
ただし、WordPress 5.8.2以前のバージョンで、wp-config.phpでコア自動更新を無効にしている読み取り専用のファイルシステムを使用しているサイトでは、特定した欠陥に基づく攻撃に対して脆弱である可能性があります。
今回のセキュリティアップデートで対応した不具合は、以下の4つです。
- CVE-2022-21661:重大度 (CVSS スコア 8.0) :WP_Query を経由した SQL インジェクション。この欠陥は、WP-Query を使用するプラグインやテーマを通じて悪用されます。WordPress の 3.7.37 までのバージョンに対応しています。
- CVE-2022-21662:重大度 (CVSS スコア 8.0) : XSS 脆弱性により、作者 (低権限ユーザ) が投稿スラッグを悪用して不正なバックドアを追加したり、サイトを乗っ取ったりできる脆弱性が存在します。WordPress 3.7.37 までのバージョンに対応しています。
- CVE-2022-21664:深刻度の高い (CVSS スコア 7.4):WP_Meta_Query クラスを経由したSQL インジェクションです。WordPress の 4.1.34 までのバージョンをカバーしています。
- CVE-2022-21663:中程度の深刻度 (CVSS スコア 6.6) :オブジェクトインジェクションの問題があり、脅威者が管理者アカウントを侵害した場合にのみ悪用されます。WordPress の 3.7.37 までのバージョンをカバーしています。
また、これらの不具合は、ほとんどの WordPress サイトに深刻な影響を与える可能性はないと考えられます。
しかしながら、すべての WordPress サイト所有者はバージョン 5.8.3 にアップグレードし、ファイアウォールの設定を見直し、WP コアアップデートが有効になっていることを確認することが推奨されます。
この設定は wp-config.php の ‘define’ パラメータで確認でき、
"define('WP_AUTO_UPDATE_CORE', true );"
となっているはずです。
コア自動更新機能は2013年のWordPress 3.7で導入され、公式統計によると、現在それよりも古いバージョンを実行しているWPサイトは全体の0.7%に過ぎないそうです。
Comments