pagetaka

写真、PC、ネット、岡山、旅の話題をお届けします

Wordpress:バージョン3.0.3未満で脆弱性が

さくらインターネットからメールが来て、Wordpress3.0.3未満でxmlrpc.phpに脆弱性があり踏み台にされる可能性があるとのこと…。その元は、JVNというところからの連絡みたい…。

(公表日 2010/12/08、登録日 2012/09/19、最終更新日 2012/09/19)

WordPress の xmlrpc.php におけるアクセス制限を回避される脆弱性
WordPress の xmlrpc.php 内の XML-RPC リモートパブリッシングインターフェースは、機能のチェックを適切に行わないため、アクセス制限を回避され、投稿を公開、編集、または削除される脆弱性が存在します。…(略)…ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

ということで…

2010年12月8日(米国時間)、WordPress バージョン 3.0.3 がリリースされました

XML-RPC リモートパブリッシングインターフェースの一定の環境において、投稿者または寄稿者権限のユーザーが本来権限のない投稿を編集、公開、削除できてしまう問題を修正。 (r16803)
改訂ファイル一覧

  • wp-includes/version.php
  • xmlrpc.php
  • readme.html
  • wp-admin/includes/update-core.php


う~ん、ちょっと唸ってしまったです…。

文字コードPHPMySQLのそれぞれのバージョンがWP2.8あたりから複雑に変化してきた記憶があるです。いったんDBからデータをDLして緊張しながらバージョンアップをやったかと…。文字化けの問題も少し残ったような苦い記憶もあるです。一方で、操作の変更に対応できないという問題もありそうなところはバージョンを3.0.3未満にして今日を迎えている、という例も…、あ~今回の件は最悪か?…グスン。明日以降、改めて対策を考えよう…シクシク。