WordPress、更新版で深刻な脆弱性を修正 安全確保のため情報公開を先送り
WordPressは1月26日に更新版の4.7.2が公開されたが、この時点では意図的に深刻な脆弱性の存在を明らかにしていなかった。
WordPress.orgは2月1日のブログで、1月末に公開したWordPressの更新版で深刻な脆弱性に対処していたことを明らかにした。安全確保のため、意図的にこの脆弱性に関する情報の公開を遅らせていたという。
WordPressは1月26日に更新版の4.7.2が公開され、この時点ではそれほど危険性の高くない3件の脆弱性についてのみ情報を掲載していた。
今回新たに情報が公開された深刻な脆弱性は、WordPress REST APIに存在する。この問題はセキュリティ企業のSucuriが1月20日にWordPressに通知していたといい、悪用された場合、認証を受けないユーザーがWordPressサイトのコンテンツやページを改ざんできてしまう恐れがあった。
WordPressではこの問題について、「セキュリティ問題は常に公開されるべきというのがわれわれのスタンスだが、今回のケースでは、何百万というWordPressサイトの安全を保証するため、意図的に公開を1週間先送りした」と説明している。
この間にSucuriをはじめとするセキュリティ企業と連携し、攻撃が発生した場合でも各社のファイアウォールで防御できる態勢を確立。自動更新を通じてWordPressの更新版が行き渡り、できるだけ多くのユーザーが保護されるのを待ってから、情報を公開したという。
問題のREST APIはWordPress 4.7.0で導入され、4.7.0と4.7.1ではデフォルトで有効になっている。現時点でこの脆弱性を悪用しようとする動きは確認されていないものの、まだ古いバージョンを使っている場合は直ちに4.7.2に更新するよう呼び掛けている。
関連記事
- WordPressの「All in One SEO Pack」に深刻な脆弱性、更新版で対応
脆弱性を悪用されると、XSS攻撃を仕掛けられて管理者のセッショントークンを盗まれたり、攻撃者に任意の動作を実行されたりする恐れがあるという。 - WordPressプラグインの脆弱性を突く攻撃横行、更新版で対処
Webサイトのポルノスパム感染被害が5月末ごろから急増している。WordPressのモバイル対応プラグイン「WP Mobile Detector」の未解決の脆弱性が悪用されていたことが分かった。 - WordPressのプラグイン「Jetpack」に脆弱性、直ちに更新を
悪用されれば管理者アカウントが乗っ取られたり、訪問者が不正なWebサイトに誘導されたりする恐れがある。 - 「PHPMailer」に重大な脆弱性、直ちにパッチ適用を
PHPからのメール送信に使われている、「世界一人気の高いコード」に重大な脆弱性が見つかった。「パッチを適用しないまま放置すれば悪用される」と専門家は警告している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.