Joomla SQLiの脆弱性、緊急アップデート

2017年5月19日

ニュースソース:sucuri Blog
以下は、2017年5月17日に公開されたSQL Injection Vulnerability in Joomla! 3.7を要約したものです。


Security Risk: Severe
Exploitation Level: Easy/Remote
DREAD Score: 8.6/10
Vulnerability: SQL Injection
Patched Version: 3.7.1

Sucuri Firewall(WAF)が、Joomla!3.7に影響を及ぼすSQL Injectionの脆弱性(CVE-2017-8917)を発見しました。
この脆弱性は対象サイトの特権管理者権限を必要としない、悪用されやすいものです。

脆弱性は、バージョン3.7で導入された最近のコンポーネント「com_fields」に起因しています。
このバージョンを使用している場合は影響を受けますので、できるだけ早く更新する必要があります。
この脆弱なコンポーネントには一般ユーザーがアクセス可能です。つまり、サイトにアクセスした誰でもがこの脆弱性を利用した攻撃を行うことができます。

SQLインジェクション攻撃の性質上、攻撃者がパスワードハッシュを取得したり、ログインしているユーザーのセッションを乗っ取るなど、さまざまな方法が可能です(管理者セッションが盗まれた場合には、サイトは完全に攻撃者に支配されます)。

これは、脆弱なサイトを侵害するさまざまな方法で悪用される、重大な脆弱性です。
今すぐJoomla!をアップデートしてください。
Joomlaサイトがハッキングされていると思われる場合は、無料のDIYクリーンアップガイドを利用できます。

注:原文では、SQLインジェクション攻撃の実際が紹介されています。