写真提供:マイナビニュース

写真拡大

Sucuriは2月1日(米国時間)、「Content Injection Vulnerability in WordPress 4.7 and 4.7.1」において、先日リリースされた「WordPress 4.7.2」には、リリース時に詳細が公開されていなかった重大な脆弱性の修正が含まれているとしてただちにアップグレードを実施するように呼びかけた。この脆弱性は特権昇格を可能とするもので、Rest API経由でコンテンツの操作が可能になるものとされている。

Automatticは2017年1月26(米国時間)、複数の脆弱性を修正した「WordPress 4.7.2」を公開した。今回Sucuriが公開したコンテンツインジェクションの脆弱性はこの時には詳細が公開されなかった。脆弱性の修正版が公開されてからアップデートする時間は十分に取れただろうと見て、Sucuriはこの危険性の高い脆弱性の情報を公開したとしている。

WordPress 4.7.0からRest APIがデフォルトで有効になっている。今回の脆弱性はこのRest APIに関するもので、悪用されると遠隔から特権昇格を実施され、意図していない操作を許してしまうとされている。該当するバージョンを使っている場合は早期にアップグレードを実施することが望まれる。

(後藤大地)