WordPress 4.8.3でSQLインジェクション脆弱性を修正

SPONSORED LINK

ハロウィーンに沸いた昨晩、自動アップデートがオンになっていた方は WordPress 4.8.3 の通知がたくさん飛んで来ていただろう。今回のアップデート$wpdb に関するセキュリティパッチである。

自動アップデートにしていない人は急いで更新を。

脆弱性の詳細

今回は報告者である Anthony Ferrara がパッチ公開後すぐに詳細を “Disclosure: WordPress WPDB SQL Injection – Technical” として公表している。

このSQLインジェクション脆弱性はいまのところコアに影響を与えないようだが、$wpdb->prepare メソッドの不備によって、意図しないインジェクションが発生してしまうようだ。

具体的には、プレースホルダーが順番に置換される vsprintf の性質を利用し、置換結果にプレースホルダーを再度挿入することでSQLiを発生させる。

これだけ書かれると「なんのこっちゃ」かもしれないが、ざっくりまとめると、以下のとおり。

  1. WordPress 4.8.3より前のすべてのバージョンにはSQLインジェクション脆弱性があったから、すぐにアップデートしよう。
  2. WordPressコアはこのSQL脆弱性の影響を受けないけれど、プラグインによっては影響を受けるかもしれない。
  3. 自動アップデートは有効にしよう。

 

SPONSORED LINK
高橋 文樹

執筆者 高橋 文樹

小説家であり、WordPress開発者。WordCamp Tokyo 2016のリードオーガナイザー。山梨に土地を持ち、DIYで家を建てている。小説と家づくりとWordPress開発の3種競技があれば日本代表有力候補。

コメントを残す