1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. 「WordPress」のREST APIに脆弱性が確認される

「WordPress」のREST APIに脆弱性が確認される

「WordPress」のREST APIに脆弱性が確認されるオープンソースのCMS(コンテンツマネジメントシステム)として数多くのWebサイトで利用されている「WordPress」に脆弱性が確認され、2月6日、独立行政法人 情報処理推進機構(IPA)と、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は注意喚起を発表した。

脆弱性は、外部のWebシステムと連携するためのAPIの一種である「REST API」の処理に起因し、脆弱性が悪用された場合、遠隔の第三者によって、Webサイトのコンテンツを勝手に投稿、編集、削除されるといった被害にあう可能性がある。

影響を受けるバージョンは、WordPress「4.7.0」から「4.7.1」のバージョン。脆弱性を悪用する実証コードがすでに公開されており、多数のWebサイトが改ざんされたとの情報も確認されているため、サイト管理者は、対策済みの最新バージョン「4.7.2」にアップデートすることが推奨される。

なお、IPAでは、CMSを使ったWebサイト管理者向けのセキュリティのポイントを「IPAテクニカルウォッチ」として公開している(→リンク先)。こちらも併せて参照するとよい。

・(英文)WordPress 4.7.2のリリースノート
WordPress の脆弱性対策について(IPA)
WordPress の脆弱性に関する注意喚起(JPCERT/CC)
WordPressのREST API脆弱性、国内サイトでもコンテンツ改ざん事例が発生、IPAとJPCERT/CCが注意喚起(INTERNET Watch)

日立ソリューションズの関連ソリューション

サイバー攻撃対策ソリューション

サイバー攻撃対策ソリューション

高度化する標的型攻撃、マルウェア、DDoS攻撃に加え、リスト型攻撃、オンライン不正送金などに対応する最適なサイバー攻撃対策をコンサルテーションからシステム運用・監視までトータルに提供します。

詳しく見る

関連キーワード:

CMS

IPA

JPCERT/CC

REST API

WordPress

脆弱性

  • ダークネットとは
  • カテゴリートップへ
  • 中小企業や情報セキュリティ関連の10団体が共同宣言を発表