WordPressのDoS (CVE-2018-6389) について調べてみた - knqyf263's blog

IT セキュリティ

(情報元のブックマーク数

話題になってなかったやつ。

CVE-2018-6389が出ていました。 WordPressDoSとのこと。 正直WordPress周りに使ってる人いないのですが、簡単な話だったので調べてみました。
最初にまとめておくと、JavascriptCSSを読み込む機能を悪用し大量の読み込みをリクエストすることでDoSになります。 そして重要なのは、このDoSWordPress脆弱性として認めておらず公式のパッチがリリースされていません(2018/02/07時点)。 なのでゼロデイの脆弱性になるかと思います。 昨日リリースされた 4.9.3で試したのですが、やはり再現するようでした。 発見者から修正が公開されているので、対応される場合はそちらを参照されるとよいかと思います。

WordPressのDoS (CVE-2018-6389) について調べてみた - knqyf263's blog

screenshot