#はじめに
WordPress 5.2.4のリリースノートを読んでいたら気になった項目があったので調べてみた。そのうち誰か記事にするだろうと思っていたけど、日本語での解説が今も見あたらないので当時のメモを元に記述。
#脆弱性の概要
WordPress 5.2.4のリリースノートを見ると、
Props to J.D. Grimes who found and disclosed a method of viewing unauthenticated posts.
とある。
該当するCVE情報について調べると、この脆弱性にはCVE-2019-17671という識別番号が振られていることがわかる。こちらでは
In WordPress before 5.2.4, unauthenticated viewing of certain content is possible because the static query property is mishandled.
と記述されている。
簡単に言えば「非公開の記事が認証無しで閲覧可能な不具合がある」ということらしい。
#脆弱性の影響範囲
脆弱性が利用できるのが限定的な条件下であれば、それほど重大では無いと思われるので、実際にどのような場合に影響を受けるのか確認してみる。
なお、詳細な解説は下記リンク先に記述されているため、ここでは省略。
https://0day.work/proof-of-concept-for-wordpress-5-2-3-viewing-unauthenticated-posts/
WordPress 5.2.3で確認した結果、以下のとおりになった。
- URLに特定のパラメータ
?static=1&order=descを付与することで、通常は閲覧できない内容が表示されてしまう。 - 表示されるのは非公開および下書きの固定ページ。
- パスワード保護されたページについては、ページが存在すること自体は分かるが内容は閲覧できない。
- 投稿は本脆弱性の影響を受けない。
下書きを見られて恥ずかしい思いをするくらいで済むか、後日公表予定のニュースリリースが漏れて問題になるかはサイト次第だろうが、対策をした方が良さそうに思える。
#ワークアラウンド
WordPressをアップデートすることが一番だが、事情によりアップデートすることが難しい場合はGitHubの修正履歴を参考にパッチを当てることで対応可能になる。