ワードプレス6.1.1以下の脆弱性 CVE-2023-22622 につきまして

昨今国際的な脆弱性データベースNISTにて、ワードプレス６．１．１以下の脆弱性としてCVE-2023-22622　が公開されました。
こちらについて現時点で当社で調べた結果を解説いたします。

※この脆弱性は2023年2月2日に脆弱性スコア7.5から5.3に格下げされました。これに伴い当社脆弱性検査の警告から排除されました。

※この記事は2023年1月27日に記載したものです。時間がたつにつれて状況が変化している場合がございます。

脆弱性スコア7.5、ワードプレス6.1.1以下すべてに影響を与える脆弱性？

CVSSスコアは10段階で、「遠隔から脆弱性を突けるか」「システムを乗っ取れるか」「改ざんができるか」「認証なしに脆弱性を突けるか」などの指標を重みづけして算出されます。

今回のCVE-2023-22622　につきまして、スコアが7.5と非常に高く、かつパッチやアップデートも出ていない中で6．1.1以下のワードプレスすべてに脆弱性があるとするものですが、結論から申し上げますと即時何か対応しなければいけないというわけではないと当社では考えます。

NISTによるCVE-2023-22622脆弱性の解説

WordPress through 6.1.1 depends on unpredictable client visits to cause wp-cron.php execution and the resulting security updates, and the source code describes “the scenario where a site may not receive enough visits to execute scheduled tasks in a timely manner,” but neither the installation guide nor the security guide mentions this default behavior, or alerts the user about security risks on installations with very few visits.

翻訳↓
6.1.1までのWordPressは、wp-cron.phpの実行とそれに伴うセキュリティアップデートが必要であるとしています。ワードプレスのCRON(ワードプレス組み込みの自動実行の仕組み)はどのようなウェブアクセスであるか予測できない場合でも実行され、ソースコードには「スケジュールタスクを適時に実行するためにサイトへの訪問が十分ではない場合にどうなるか」が記述されていますが、インストールガイドもセキュリティガイドもこのデフォルト動作には触れておらず、訪問数が非常に少ないインストールでのセキュリティリスクについてユーザーに警告しています。

つまり、ウェブアクセスが少ない場合のCRONの動作について、何らかのセキュリティーリスクがあるのではないか？というある種の注意喚起のようです。

具体的な攻撃方法は明らかではいない

またNISTの脆弱性の解説ページにおいても、ワードプレスのCRONに関する上記公式の注意書きの説明文等にリンクされているだけで、具体的な攻撃方法へのリンクはなく、現状攻撃方法は特にないようです。

また、https://medium.com/@thecpanelguy/the-nightmare-that-is-wpcron-php-ae31c1d3ae30　にもリンクがありますが、こちらを読むと、CRONに過剰アクセスがあると、サイトの表示が不安定になるDDOS攻撃(ウェブサイトやサーバーに対して過剰なアクセスやデータを送付するサイバー攻撃)を受けるかもしれないという趣旨のことが記載されています。
ただ、これは、一般的にはサーバー側で防ぐタイプの攻撃です。
御社サイトを過剰アクセス攻撃で落とすことのメリットが高くないか(DDOS攻撃をしてハッカーにとってメリットのあるサイトはめったにございません)、DDOS攻撃を防ぐ仕組みがお使いのサーバーが実装されていれば問題ないタイプのものです。