WordPressに複数の脆弱性 クロスサイトスクリプティングで閲覧者・投稿者が影響受ける恐れ

JPCERT/CCは11月8日、CMSの「WordPress」に複数の脆弱性が見つかったとして最新版へのアップデートを呼び掛けた。影響度を示すCVSS v3のベーススコアは最大6.1。悪用されると、WordPressで運用するWebサイトの閲覧者が攻撃を受けたり、記事投稿者のメールアドレスを盗まれたりする恐れがある。 影響を受けるのはWordPress 6.0.3より前のバージョン。クロスサイトスクリプティングの脆弱性（CVE-2022-43497、CVE-2022-43500）、不適切な認証の脆弱性（CVE-2022-43504）が見つかった。 クロスサイトスクリプティングは、Webサイトの脆弱性を突いて攻撃スクリプトを設置し、閲覧者に悪影響を与える攻撃手法。今回の脆弱性を悪用されると、閲覧者のWebブラウザで攻撃スクリプトが実行されたり、メールを使って記事を投稿する「メール投稿」機能を

[mayumayu_nimolove]

wordpressはローカル記事管理に使ってビルドシステムで静的html生成なりしてが良いね

[witch-doktor]

WordPressはデフォルトだと、セキュリティアップデート含むマイナーアップデートが自動化されてるので制作者は絶対にこれを殺さないでほしい / メールによる投稿機能、プラグイン化して本体と分離してもよさそうな気が

[nmcli]

6.0.3 のリリースが 2022/10/18 なので、意識的に更新してないとアップしてない可能性ある

[tanabebe]

#Web制作 としてWordPrest薦めるのは構わないと思うのですが、こういう情報は自分で拾いにいかないと流れてこないのでこのあたりも覚えて欲しい。愚直に勉強するのは大事だけど、それだけだと色々見落とすよ、という戒め

[onesplat]

Wordpressとか使ってるほうが悪いだろ

[defiant]

シュッとアップデートしましょう

[strawberryhunter]

WordPressって定期的に脆弱性が見つかるけど、開発チームは無能なのかしら。特にXSSは昨今聞かなくなった最も古典的な脆弱性。

[mon_sat]

WordPressによるサイト閲覧者のブラウザ上で任意のスクリプトを実行される脆弱性2件と、遠隔の第三者によるメール投稿したユーザーのメールアドレスを取得される脆弱性1件。日本人の報告。自動アップデート設定を要確認

[lifeisadog]

「メール投稿」機能に関係する複数の脆弱性、だと

[respectbookmark]

6.03て。ほぼ最新じゃねーか

[raebchen]

にわか知識の「ホームページ作成屋」がWordPressでデザインして「運用カンタンだから！」って言って納品してオワリにするから、うとい自営業者とかNPOとかのWebサイトはもう何年もメンテ放置されてて手の施しようない😨