IPA、2015年第1四半期の脆弱性レポート - WordPress拡張機能の脆弱性に注意

情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は4月23日、2015年第1四半期(1月～3月)の脆弱性関連情報の届出状況についてまとめた「ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート」を公開した。

今期の脆弱性情報の届出件数245件のうち、修正を完了したものは41件で、そのうちの6件が、CMSのひとつである「WordPress」の本体と一緒に使用するプラグインやテーマなどの拡張機能に作りこまれた脆弱性だった。

脆弱性の影響は、拡張機能を使用して作成したWebページだけでなく、CMS本体にも及ぶ可能性があるため、注意が必要だ。

脆弱性の悪用を避けるために、製品開発者は、拡張機能自体に脆弱性を作りこまないこと、CMS本体に組み込んだ際に脆弱性が作りこまれないことを確認したうえで提供することが求められる。また、CMSおよびその拡張機能の利用者は、使用している拡張機能の脆弱性対策情報を確実に把握すること、使用していない場合は削除すること、常に最新版にアップデートし、安全な状態を維持することが重要となる。