WordPress 4.2以前にXSSの脆弱性、速やかなアップデートを呼び掛け：実証コードも公開、ホスティング環境も含め早期の対応を

オープンソースのCMS／ブログプラットフォーム「WordPress」に、深刻なクロスサイトスクリプティングの脆弱性が存在する。サーバー上で任意のコードが実行される恐れがあり、問題を修正した「WordPress 4.2.1」への速やかなアップデートが望ましい。

[高橋睦美，＠IT]

　WordPressは2015年4月27日、オープンソースのCMS／ブログプラットフォーム「WordPress」に、深刻なクロスサイトスクリプティングの脆弱性が存在することを明らかにした。同日、問題を修正した新バージョン「WordPress 4.2.1」をリリースし、速やかなアップデートを呼び掛けている。

　この脆弱性が影響するのはWordPress 4.2以前だ。コメント機能に問題があり、攻撃者がコメント中に挿入したJavaScriptを閲覧することで、サーバー上で任意のコードが実行される恐れがある他、管理者アカウントのパスワードを変更されたり、新たなアカウントを作成されたりする恐れがある。

　この脆弱性を発見し、4月26日付で実証コード（Proof of Concept）を公開したフィンランドのセキュリティ企業、Klikki OyのJouko Pynnönen氏は、WordPress 4.2、4.1.2、4.1.1、3.9.3でこの脆弱性を確認したという。対策はアップデートを適用するか、それともコメント機能を無効にし、あらゆるコメントを承認しないようにすることしかないという。

　なおPynnönen氏は、2014年11月以降、この問題について電子メールやフィンランドのコーディネーション組織であるCERT-FI、さらにはバグ報奨金プログラムの「HackerOne」など複数の手段を通じてWordPress側にコンタクトを試みたが、いずれも拒否されたと説明している。

　WordPressに関しては数日前の4月21日にも、クロスサイトスクリプティングを含む複数の深刻な脆弱性を修正した「WordPress 4.1.2」がリリースされたばかりだった。Pynnönen氏が指摘した問題は、これらの脆弱性に似たものだという。

　ここ数年、WordPressの脆弱性を狙ったWeb改ざんは多発している。自社サーバーで運用している場合はもちろん、ホスティングサービス環境で運用しているWordPressについても速やかな対応が必要だ。また合わせて、プラグインやテーマについても最新のバージョンに更新しておくことが望ましい。