WordPressは1月26日に更新版の4.7.2が公開されたが、この時点では意図的に深刻な脆弱性の存在を明らかにしていなかった。
WordPress.orgは2月1日のブログで、1月末に公開したWordPressの更新版で深刻な脆弱性に対処していたことを明らかにした。安全確保のため、意図的にこの脆弱性に関する情報の公開を遅らせていたという。
WordPressは1月26日に更新版の4.7.2が公開され、この時点ではそれほど危険性の高くない3件の脆弱性についてのみ情報を掲載していた。
今回新たに情報が公開された深刻な脆弱性は、WordPress REST APIに存在する。この問題はセキュリティ企業のSucuriが1月20日にWordPressに通知していたといい、悪用された場合、認証を受けないユーザーがWordPressサイトのコンテンツやページを改ざんできてしまう恐れがあった。
WordPressではこの問題について、「セキュリティ問題は常に公開されるべきというのがわれわれのスタンスだが、今回のケースでは、何百万というWordPressサイトの安全を保証するため、意図的に公開を1週間先送りした」と説明している。
この間にSucuriをはじめとするセキュリティ企業と連携し、攻撃が発生した場合でも各社のファイアウォールで防御できる態勢を確立。自動更新を通じてWordPressの更新版が行き渡り、できるだけ多くのユーザーが保護されるのを待ってから、情報を公開したという。
問題のREST APIはWordPress 4.7.0で導入され、4.7.0と4.7.1ではデフォルトで有効になっている。現時点でこの脆弱性を悪用しようとする動きは確認されていないものの、まだ古いバージョンを使っている場合は直ちに4.7.2に更新するよう呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.