WordPressのREST API脆弱性、国内サイトでもコンテンツ改ざん事例が発生、IPAとJPCERT/CCが注意喚起

 独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6日、WordPressのREST APIにおける認証回避の脆弱性について注意を喚起した。

 対象となるWordPressのバージョン「4.7」および「4.7.1」では、REST APIがデフォルトで有効となっている。脆弱性を悪用すると、本来必要な認証をせずに、ウェブサイトのコンテンツの投稿や編集、削除といった改ざんが可能となる。

 脆弱性は、1月26日に公開されたバージョン「4.7.2」で修正されているが、WordPressでは「何百万ものWordPressサイトの安全性確保のため」脆弱性の情報を2月1日まで公表していなかった。

 脆弱性の実証コードがすでに公開されており、JPCERT/CCによる検証ではコンテンツの改ざんが可能だったとのこと。脆弱性の影響を受けるバージョンのWordPressを利用しているとみられる国内の複数のサイトが、すでに改ざんの被害を受けている。

 IPAとJPCERT/CCでは、最新バージョンへの更新を推奨している。また、一時的な回避策として、REST APIを使用しないか、REST APIへのアクセスを制限することを推奨している。WordPressでは、REST APIを無効にする公式プラグイン「Disable Embeds」も提供している。

 最新バージョンの4.7.2では、REST APIにおける脆弱性のほか、権限のないユーザーにPress Thisのタクソノミー語句を割り当てるユーザーインターフェースが表示される脆弱性、SQLインジェクションの脆弱性、クロスサイトスクリプティング(XSS)の脆弱性の3つも修正されている。