ニュース
» 2015年04月28日 07時01分 UPDATE

「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在

セキュリティ企業によれば、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在する。

[鈴木聖子,ITmedia]
wdprs01.jpg WordPressの告知

 WordPressは4月27日、コンテンツ管理システム(CMS)最新版の「WordPress 4.2.1」を公開し、深刻な脆弱性に対処したことを明らかにした。脆弱性はこれまでの全バージョンに存在するといい、ユーザーに対して自分のWebサイトを直ちにアップデートするよう強く勧告している。

 これに先立ちフィンランドのセキュリティ企業Klikkiは4月26日に公開したアドバイザリーで、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを確認したと伝えていた。

 Klikkiによれば、この問題を悪用された場合、認証を受けない攻撃者がWordPressのコメントにJavaScriptを挿入して、サーバ上で任意のコードを実行したり、管理者パスワードの変更や新しい管理者アカウントの追加といった操作をすることが可能になるという。この脆弱性を突くコンセプト実証コードやデモ映像も公開している。

 脆弱性報告を巡ってKlikkiは、「2014年11月からWordPressに連絡を取ろうと試みてきたが、すべて拒否された」と訴えていた。

wdprs02.jpg 動画でも脆弱性情報を提供したKlikki

 WordPressは別の深刻な脆弱性を修正したバージョン4.1.2が4月21日に公開された。バージョン4.2(Powell)は同月23日に正式公開されたばかりだった。

関連キーワード

WordPress | 脆弱性 | XSS


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -