WordPressにおけるコンテンツインジェクションの脆弱性に関する調査レポート - 脆弱性調査レポート

  • 本文プリント

WordPressにおけるコンテンツインジェクションの脆弱性に関する調査レポート

  • 2017年2月3日

概要

CMS(*1)ソフトウェアとして広く使われているWordPressに、コンテンツインジェクション可能な脆弱性の攻撃コードが発見されました。

この脆弱性はWordPressの投稿の取得や新規追加、更新を行うことができるREST APIにて、リクエスト受信時におけるアクセス権確認処理の不具合があるために生じる脆弱性です。なお、REST APIは、WordPress4.7.0または4.7.1を使用するウェブサイトではデフォルトで有効になっています。
この脆弱性を利用した攻撃が成立した場合、ウェブサイトの投稿内容やページの内容を変更または削除される危険性があります。

本レポート作成(2017年2月3日)時点において、開発元より脆弱性を修正したバージョンがリリースされております(2017年1月26日付)。しかしながら、攻撃を成立させるためのコードが容易に入手可能であり、かつ脆弱性に対する攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、今回、この脆弱性の再現性について検証を行いました。

*1CMS(Content Management Systemの略):ウェブサイトのページ作成において、技術的な知識がなくても容易にページを作成できるような仕組みを用意したシステム。

影響を受ける可能性があるシステム

  • WordPress 4.7.0
  • WordPress 4.7.1

 

対策案

開発元より、この脆弱性を修正するプログラムがリリースされています。
当該脆弱性の修正を含む最新のバージョンを適用していただくことを推奨いたします。

ただちに最新版へアップデートすることが困難な場合、REST APIを無効化するプラグインをインストールすることで、攻撃を回避できる可能性があります。下記、弊社検証において、同プラグインをインストールすることで攻撃を回避できたことを確認しております。

バージョン確認方法

WordPress管理画面のダッシュボード内、概要の項目より、WordPressのバージョンを確認できます。

検証概要

ターゲットシステムに対し、細工したAPIリクエストを送信することにより、同システムの投稿内容が変更されることを確認します。これにより、攻撃者が投稿内容を任意の内容に書き換えられることを確認できます。

検証ターゲットシステム

CentOS 7.3 + WordPress 4.7.0

検証イメージ

検証結果

任意の投稿内容[画像1]を使用して攻撃コードを実行したところ、ターゲットシステムの投稿内容が変更されました。これにより、攻撃者はターゲットシステムの投稿内容を、任意の内容に書き換えることが可能であることが確認できました。

[▼画像1]

 

[▼ターゲットシステムの投稿内容(攻撃コード実行前)]

 

[▼ターゲットシステムの投稿内容(攻撃コード実行後)]

 


更新履歴

2017年2月3日 : 初版公開

  • PDF版はこちら
  • 脆弱性調査レポートのメール配信を開始しました!

    ご好評いただいている「脆弱性調査レポート」ですが、コンテンツの都合上、レポートの発行は不定期です。そこで、新しい脆弱性調査レポートを発行するたびに最新情報をメールでお届けする「脆弱性調査レポート メール」の配信を開始しました。ぜひご登録ください。

    本件に関するお問い合わせ先

    『報道関係者様からのお問い合わせ』
    ソフトバンク・テクノロジー株式会社
    管理本部 経営企画部 齊藤、安部、菅
    TEL:03-6892-3063
    メールアドレス:sbt-pr@tech.softbank.co.jp
    『お客様からのお問い合わせ』
    下記問い合わせフォームよりお問い合わせください。

    お問い合わせ・資料請求

    課題や悩みをお持ちのお客様は、
    まずお気軽にご相談ください。

    総合お問い合わせはこちら

    目的別・サービス別のご相談は「お問い合わせ・資料請求先一覧」からお問い合わせください。

    お問い合わせ・資料請求

    課題や悩みをお持ちのお客様は、まずお気軽にご相談ください。

    総合お問い合わせはこちら
    • SBT Talents
    • プライバシーマーク制度

    • ISMS認証登録範囲:
      本社、汐留、大阪、福岡

    ページトップへ