写真提供:マイナビニュース

写真拡大

Sucuriは3月13日(米国時間)、「Stored XSS in WordPress Core」において、先日脆弱性が発表された「WordPress 4.7.2」に情報が公開されていない脆弱性が存在していると発表した。すでにその脆弱性が修正された「WordPress 4.7.3」が公開されていることから、WordPressを使用している場合は迅速に修正が実施された最新版へアップグレードすることが推奨されている。

これまでも脆弱性が公表されるにあたって、当時発見されていたすべての脆弱性の詳細が公開されなかったことがある。その背景には、脆弱性を修正したバージョンが広く適用されるまで時間を稼ぎ、一定時間が経って安全なバージョンが普及したと判断された時点で詳細情報が公開するという狙いがある。

また、脆弱性が発見されているにもかかわらず、情報が公開されないこともある。以前セキュリティファームから情報漏洩が発生したインシデントで、漏洩したデータから多数の未知の脆弱性情報が内部に保持されていたことが明らかになっている。

ソフトウェアが常に脆弱性を抱えている可能性があることを認識するとともに、脆弱性が存在している場合も被害が最小限になるようにシステムを構築すること、複数のセキュリティ対策を実施することなどが望まれる。

(後藤大地)