JPCERT/CCは11月8日、「WordPress」に複数の脆弱性が見つかったとして最新版へのアップデートを呼び掛けました。
WordPressをご利用のお客様は、最新版のWordpressにアップデートしてください。
※WordPress保守契約をご利用のお客様または納品後3か月以内のお客様は既に当社で対応済です。
脆弱性の概要
WordPress 6.0.3より前のバージョンには、以下の脆弱性が存在しています
- 格納型クロスサイトスクリプティングの脆弱性 (CVE-2022-43497)
- 格納型クロスサイトスクリプティングの脆弱性 (CVE-2022-43500)
- 不適切な認証の脆弱性 (CVE-2022-43504 )
格納型クロスサイトスクリプティングの脆弱性
サイトを閲覧しているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性がございます。
不適切な認証の脆弱性
遠隔の第三者によって、「メール投稿」機能を利用して記事を投稿したユーザのメールアドレスを取得される可能性がございます。
アップデート対応について
WordPress保守契約をご利用のお客様または納品後3か月以内のお客様
既に当社にて対応済です。
納品後3か月以上のお客様でWordPress保守契約をご利用されていないお客様
お客様ご自身でアップデートしてください。
こちらの方法を参考にアップデートしてください。
WordPress4系及び5系初期ご利用の方
最新版にアップデートする事で、サイトの表示が崩れたり一部の機能が利用できないなどの不具合が発生する可能性がございます。テストサイトがある場合は、先ずテストサイト側でアップデートして表示確認と動作確認を行った上で、本番側をアップデートしてください。
テストサイトが存在していない場合は、当社が代行してテストサイトを用意する事も出来ますが、有償作業となります。