WordPress において script-loader.php を悪用してサービス不能攻撃が可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2020.04.06(月)

WordPress において script-loader.php を悪用してサービス不能攻撃が可能となる脆弱性(Scan Tech Report)

WordPress にサービス不能攻撃が可能となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
◆概要

WordPress にサービス不能攻撃が可能となる脆弱性が報告されています。攻撃者は当該脆弱性を悪用することにより、対象ホストの資源を効果的に枯渇させて、サービス不能状態に陥れることが可能となります。修正版が公開されていないため、軽減策を講じることで当該脆弱性に対応してください。

◆分析者コメント

当該脆弱性は、本記事執筆時点 (2018 年 3 月 19 日) で公式に修正されていません。攻撃リクエストを生成することが容易な脆弱性であるため、攻撃者に悪用される可能性が高い脆弱性であると考えられます。WordPress の利用者は当該脆弱性に関する脆弱性情報を収集して、対策を講じることを推奨します。

◆深刻度(CVSS)

[CVSS v2]
5.0
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2018-6389&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P)

[CVSS v3]
7.5
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2018-6389&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

◆影響を受けるソフトウェア

WordPress のバージョン 4.9.4 以前が当該脆弱性の影響を受けると報告されています。

◆解説

世界的なシェアを誇る CMS ソフトウェア である WordPress に、サービス不能攻撃が可能となる脆弱性が報告されています。

《株式会社ラック サイバー・グリッド研究所》

関連記事

PageTop

特集

アクセスランキング

  1. 従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

    従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

  2. セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)

    セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)

  3. 成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

    成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

  4. “情シス as a サービス”構想展開開始、第1弾はIT資産管理(バリオセキュア)

    “情シス as a サービス”構想展開開始、第1弾はIT資産管理(バリオセキュア)

  5. セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)

    セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)

  6. 自動投薬システムに、機微な情報を閲覧・改ざんされる脆弱性(JVN)

    自動投薬システムに、機微な情報を閲覧・改ざんされる脆弱性(JVN)

  7. 産業用ルータOS「HiOS」「HiSecOS」に任意コード実行の脆弱性(JVN)

    産業用ルータOS「HiOS」「HiSecOS」に任意コード実行の脆弱性(JVN)

  8. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  9. オフィシャルサイトが改ざん被害で公開停止、原因解明中(ソニー・ミュージック)

    オフィシャルサイトが改ざん被害で公開停止、原因解明中(ソニー・ミュージック)

  10. 日本国内のサイバー犯罪被害者数は年間2,460万人、2019年調査(ノートンライフロック)

    日本国内のサイバー犯罪被害者数は年間2,460万人、2019年調査(ノートンライフロック)

ランキングをもっと見る