WordPressの脆弱性は人気テーマやプラグインにも影響、ゼロデイ攻撃の発生も

脆弱性の影響はデフォルトのテーマ「TwentyFifteen」や人気プラグインの「JetPack」にも及ぶ。情報が公開される前からこの脆弱性を突く攻撃の発生が報告されていたという。

[鈴木聖子，ITmedia]

　コンテンツ管理システム（CMS）のWordPressが5月7日の更新版で修正した脆弱性は、デフォルトで使われているテーマも含めて多数のWordPressプラグインやテーマに影響を及ぼすことが分かった。セキュリティ企業の米Sucuriによれば、情報が公開される前からこの脆弱性を突くゼロデイ攻撃の発生も報告されていたという。

Wordpress最新版の4.2.2

　Sucuriの5月6日のブログによると、脆弱性はアイコンフォントパッケージの「Genericons」に含まれる「example.html」というファイルに起因する。悪用された場合、DOM（Document Object Model）ベースのクロスサイトスクリプティング（XSS）攻撃を仕掛けられる恐れがある。

　Genericonsは、デフォルトでインストールされているテーマの「TwentyFifteen」や、インストール数が100万を超す人気プラグインの「JetPack」に使われていることが確認された。他にも影響を受けるプラグインなどは相当数に上る見通しだという。

　Sucuriによれば、この脆弱性を突く攻撃は情報が公開される数日前から検出されていた。この問題は極めて簡単に悪用できてしまう一方で、対処も簡単で、genericonsのディレクトリ内にある不必要なファイル「example.html」を削除すれば済むと同社は解説している。

脆弱性リスクについて解説するSecuri

　WordPressによれば、Twenty FifteenなどWordPress.orgでホスティングしているテーマやプラグインについては、全ての問題のファイルを削除することによってこの脆弱性に対処した。他で利用されているGenericonsの問題にも対応するため、更新版の「WordPress 4.2.2」ではwp-contentのディレクトリをスキャンして問題のファイルを削除する措置を講じたという。

　Sucuriでは、この脆弱性は非常に影響が大きいとして、できるだけ早く対応するよう呼び掛けている。