独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6日、WordPressのREST APIにおける認証回避の脆弱性で注意しているよ
対象となるWordPressのバージョン「4.7」および「4.7.1」では、REST APIがデフォルトで有効となっている。らしい
本来必要な認証をせずに、ウェブサイトのコンテンツの投稿や編集、削除といった改ざんが可能となるらしい。
1月26日に公開されたバージョン「4.7.2」で修正されているが、脆弱性の情報を2月1日まで公表していなかったらしい。
一時的な回避策として、REST APIを使用しないか、REST APIへのアクセスを制限したほうが良いという。というか駄目でしょ
WordPressでは、REST APIを無効にする公式プラグイン「Disable Embeds」も提供。
適用するかしないかは自分達の判断
https://ja.wordpress.org/plugins/disable-embeds/
緊急性が有りますね。
詳しい内容
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html
とうとう出ましたね。
wordpress4.6 更新失敗しましたいつもの如く。
予想はしていましたが、とりあえずこのようにすれば完了しましたので覚書。
sqlite-integrationを利用している方向けです。
いきなり更新は何度か失敗したので、ココはまず地道にバックアップ。
.htaccessは厳しくしておきます。アクセス中は、同時接続に問題があると困りますので
次に4.6-enで始めました。
4.6-jpも有ったのですが結局4.6-enから出ないとおかしかったので4.6-enで自動更新
数分後
データベースの更新と出ます。
続きを読む wordpress:4.6へ更新! →
本日、s3bubble-amazon-s3-html-5-video-with-advertsのアクセスが有ったので何?探してみましたが、s3bubble-amazon-s3-html-5-video-with-advertsというプラグインのようですね。
このように、すると設定がふぁいるの取得ができるようです。
/s3bubble-amazon-s3-html-5-video-with-adverts/assets/plugins/ultimate/content/downloader.php?path=../../../../../../../wp-config.php
フォルダには、必ず制限をかけましょう。
若しくは、WAFが設置可能なサービスが必要ですね。
プラグインやテーマなどは、コンテンツのチェックまで出来ない可能性があるので。
今回の接続先は
IPv4 address:
47.88.213.36
IPv4 expanded:
047.088.213.036
IPv4 decimal:
続きを読む wordpress:s3bubble-amazon-s3-html-5-video-with-advertsのプラグインを使っていたら注意しましょう。 →
最低限の情報 A minimum of information
