web-dev-qa-db-ja.com

Wordpressは「コメント投稿偽造」に対して脆弱ですか?

私は最近 6scan のセキュリティスキャンサービスを使って私のWordpressサイトをスキャンしました。 「Wordpressのコメント投稿偽造」という重大度の高い脆弱性が報告されました。

6scanの技術的詳細:

  • 6scanのレポートには、「CSRFの脆弱性により、悪意のあるユーザーが偽の投稿をすることが可能になっている」と述べています。影響を受けるURLは/wp-comments-post.phpです。

  • 6scanレポートのリンクをクリックして技術的な詳細を見ると、 このページ に移動します。これは、ゼロデイ脆弱性(つまりWordpressに公開された脆弱性)に関する一般的なページです。チームだが一般に知られていない)。ただし、そのページは2012年7月17日(ほぼ1年前)以降更新されておらず、このCSRFの脆弱性については特に言及されていません。

  • 6scanレポートは手動で問題を修正する方法を提案しています:それは手動でwp-comments-post.phpを編集して基本的に$_SERVER[ "HTTP_REFERER" ]$_SERVER[ "HTTP_Host" ]と一致することを確認するコードを追加することを提案します。

私はWordpress 3.5.1(現在最新のバージョン)を実行しています。 Wordpressは本当に "コメント投稿偽造"の脆弱性に対して脆弱ですか?それとも6scanレポートの偽物ですか?

古いバージョンのWordpressにはCSRFの脆弱性がいくつかあることを私は知っていますが、私はそれらが修正されたと思います。個人的には、私は脆弱性の主張はかなり疑わしいと思います - しかし私は他人に確認すると思いました。

commentssecurity
1
D.W.

これは誤った警告です。多くの「セキュリティプログラム」がそれを行います。それは FUD と呼ばれます。

WordPressはRefererヘッダーをチェックしません。これは多くの場合空であり、実際のスパマーはサイトURLをRefererとして送信するからです。

しかし、すべてのコメントフィールドはサニタイズされているので、有害なコードは挿入されません。スパム対策プラグインをインストールすれば、すべて問題ありません。この報告は明らかに偽物です。

4
fuxia