ニュース
WordPressのプラグイン「Jetpack」に脆弱性、直ちに更新を
悪用されれば管理者アカウントが乗っ取られたり、訪問者が不正なWebサイトに誘導されたりする恐れがある。
WordPressの人気プラグイン「Jetpack」の脆弱性を修正する更新版が5月27日に公開された。脆弱性はコメントを通じて簡単に悪用できてしまうとされ、同プラグインを使っている場合はできるだけ早く対応する必要がある。
JetpackはWordPressサイトの管理を支援するための多機能プラグインで、100万を超すWebサイトで使われている。
脆弱性を発見したセキュリティ企業のSucuriによると、Jetpackの「ショートコード埋め込み」モジュールにクロスサイトスクリプティング(XSS)の脆弱性が存在する。このモジュールを有効にしている場合、攻撃者がショートコードを含んだコメントを残すことによってWebサイトに悪質なJavaScriptを仕込み、管理者アカウントを乗っ取ったりSEOスパムを仕込んだり、訪問者を不正なWebサイトに誘導したりすることが可能になる。
Jetpackのブログによれば、脆弱性は2012年11月にリリースしたJetpack 2.0以降のバージョンに存在していて、5月27日公開の最新バージョン4.0.3で修正された。WordPressは自動更新システムを通じ、影響を受ける全バージョン向けにJetpackの更新版をプッシュ配信しているという。
現時点で悪用されている痕跡は確認されていないものの、「情報が公開された今、誰かが悪用しようとするのは時間の問題」だとJetpackチームは警告し、まだ更新を済ませていない場合は直ちに最新版を導入するよう促している。
関連記事
- WordPressの更新版リリース、深刻な脆弱性を修正
複数の深刻な脆弱性が修正されており、ユーザーに対して直ちにサイトを更新するよう強く促している。 - WordPress.com、独自ドメインも全てHTTPS接続に
WordPress.com上でホスティングされている全ての独自ドメインで通信が暗号化されるHTTPS接続を無償提供する。 - WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導
改ざんされたWordPressサイトやJoomlaサイトをユーザーが閲覧すると、悪質なWebサイトへリダイレクトされ、ランサムウェアの「TeslaCrypt」に感染する恐れがある。 - WordPressの脆弱性は人気テーマやプラグインにも影響、ゼロデイ攻撃の発生も
脆弱性の影響はデフォルトのテーマ「TwentyFifteen」や人気プラグインの「JetPack」にも及ぶ。情報が公開される前からこの脆弱性を突く攻撃の発生が報告されていたという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.