クライアント様各位
このたび、保守管理契約にご加入のサイトに対し、
CMS(Wordpress)のパスワードリセット機能の脆弱性について
調査を行いましたのでご報告いたします。
■概要
緊急性:高い
対 象:Wordpressで制作し、SSLを導入しているサイト(https://~で始まるサイト)
実施日:5月12日
内 容:パスワードリセット機能の脆弱性についての調査
■脆弱性の詳細について
脆弱性を利用すると、パスワードリセットメールの受け取り先に関する偽装が可能となります。
ダッシュボード「一般設定」に登録してある、パスワードリセットメールの送信先メールアドレスが受信できない場合、
エラーメールを第三者が指定したメールアドレスで受け取ることができます。
また、送信先で自動返信設定がされている場合もパスワードリセットメールの本文を第三者が取得できます。
■調査結果
対象となるお客様のホームページにおける、上記設定のメールアドレスを調査したところ、
全て正常に受信できるメールアドレスに設定されていたことを確認いたしました。
今回の調査でページの表示などへの影響はありませんが、
お気づきの点などございましたら、
お手数おかけしますがメンテナンス部門までご連絡ください。
メンテナンス部門連絡先:092-791-6618