人気CMS「WordPress」に脆弱性、至急更新を

トレンドマイクロは4月30日、フィンランドのセキュリティリサーチャーJoukoPynnonen氏が報告したCMS「WordPress」に深刻な脆弱性について解説した。

今回の事態は、JoukoPynnonen氏が4月26日(現地時間)のWordPressの脆弱性を報告した。その後、WordPressではセキュリティを強化した「WordPress4.2.1」を公開し、すべてのユーザーに更新するよう促している。最新バージョンはWordPressのブログやダッシュボードからダウンロードできる。

脆弱性は、攻撃者が悪用することで、コメントやフォーラム、ディスカッションを通じて「クロスサイトスクリプティング(XSS)」を実行できるというもの。この手法は「蓄積型XSS」と呼ばれるもので、Webサイトが蓄積しているコンテンツ中にスクリプトを紛れ込ませる。

実行方法は、WordPressで作成されたブログやWebサイト上のコメント欄に、HTMLもしくはJavaScriptのコードとテキストを追加する。コードはWordPressのデータベースに自動的に保存され、Webサイトの管理者が、ポータルサイトにアクセスすると、さらに不正なスクリプトが実行される。