昨今国際的な脆弱性データベースNISTにて、ワードプレス6.1.1以下の脆弱性として が公開されました。
こちらについて現時点で当社で調べた結果を解説いたします。


※この脆弱性は2023年2月2日に脆弱性スコア7.5から5.3に格下げされました。これに伴い当社脆弱性検査の警告から排除されました。

※この記事は2023年1月27日に記載したものです。時間がたつにつれて状況が変化している場合がございます。

脆弱性スコア7.5、ワードプレス6.1.1以下すべてに影響を与える脆弱性?

CVSSスコアは10段階で、「遠隔から脆弱性を突けるか」「システムを乗っ取れるか」「改ざんができるか」「認証なしに脆弱性を突けるか」などの指標を重みづけして算出されます。

今回のCVE-2023-22622 につきまして、スコアが7.5と非常に高く、かつパッチやアップデートも出ていない中で6.1.1以下のワードプレスすべてに脆弱性があるとするものですが、結論から申し上げますと即時何か対応しなければいけないというわけではないと当社では考えます。

NISTによるCVE-2023-22622脆弱性の解説

WordPress through 6.1.1 depends on unpredictable client visits to cause wp-cron.php execution and the resulting security updates, and the source code describes “the scenario where a site may not receive enough visits to execute scheduled tasks in a timely manner,” but neither the installation guide nor the security guide mentions this default behavior, or alerts the user about security risks on installations with very few visits.

翻訳↓
6.1.1までのWordPressは、wp-cron.phpの実行とそれに伴うセキュリティアップデートが必要であるとしています。ワードプレスのCRON(ワードプレス組み込みの自動実行の仕組み)はどのようなウェブアクセスであるか予測できない場合でも実行され、ソースコードには「スケジュールタスクを適時に実行するためにサイトへの訪問が十分ではない場合にどうなるか」が記述されていますが、インストールガイドもセキュリティガイドもこのデフォルト動作には触れておらず、訪問数が非常に少ないインストールでのセキュリティリスクについてユーザーに警告しています。

つまり、ウェブアクセスが少ない場合のCRONの動作について、何らかのセキュリティーリスクがあるのではないか?というある種の注意喚起のようです。

具体的な攻撃方法は明らかではいない

またNISTのにおいても、ワードプレスのCRONに関する上記公式の注意書きの説明文等にリンクされているだけで、具体的な攻撃方法へのリンクはなく、現状攻撃方法は特にないようです。

また、 にもリンクがありますが、こちらを読むと、CRONに過剰アクセスがあると、サイトの表示が不安定になるDDOS攻撃(ウェブサイトやサーバーに対して過剰なアクセスやデータを送付するサイバー攻撃)を受けるかもしれないという趣旨のことが記載されています。
ただ、これは、一般的にはサーバー側で防ぐタイプの攻撃です。
御社サイトを過剰アクセス攻撃で落とすことのメリットが高くないか(DDOS攻撃をしてハッカーにとってメリットのあるサイトはめったにございません)、DDOS攻撃を防ぐ仕組みがお使いのサーバーが実装されていれば問題ないタイプのものです。

CVE-2023-22622に関する結論

NISTのページを見る限りではCRONを止める設定をwp-config.phpに記載する方法が解決策としてリンクされています。

↓wp-config.phpに記載

define('DISABLE_WP_CRON', true);

しかし、この記載を追加すると、予約投稿などのワードプレスの自動実行の機能が動かなくなってしまいます。

この脆弱性に関しましては、「ワードプレスのCRONに関する仕様に関する注意喚起」であり、「具体的な攻撃方法は明らかでない」ことなどから、即座に何かされる必要はないと弊社では考えます。

マルウェア感染やセキュリティーがご心配な場合は、
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
をご利用いただけましたら幸いです。

WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼ご相談はワードプレスドクターまでお気軽にお送りください