WordPress、脆弱性を修正したWordPress 4.7.2を公開

  • 元記事:WordPress 4.7.2 Security Release
  • 元記事:Disclosure of Additional Security Fix in WordPress 4.7.2
  • HP:WordPress
  • 発表日時 2017/1/26

    WordPressは脆弱性を修正したWordPress 4.7.2を公開した。今回のアップデートではWordPress 4.7.1とそれ以前に存在するWP_Query の SQL インジェクションの脆弱性、投稿リストテーブルのクロスサイトスクリプティング (XSS) 脆弱性、Press This のタクソノミー語句割当てユーザーインタフェースが使用権限のないユーザーにも表示される問題に対応した。
    後日、WordPress 4.7.2が公開された時点では公開されていなかった脆弱性情報が同社ブログにて公開されてた。今回の情報公開遅延は、WordPressサイトの安全確保のため、多くのユーザのWordPressの自動更新がされるのを待つために意図的に1週間遅らせていた。今回新たに公開された脆弱性はWordPress REST APIに存在する脆弱性で、悪用されると認証を受けないユーザに、WordPressのサイトページやコンテンツを改ざんされる恐れがある。WordPress 4.7.2が公開された時点では脆弱性を悪用した攻撃は確認されていなかったが、現在IPAにより脆弱性を悪用した攻撃コードが確認されており、アップデートをしていないユーザは早急にアップデートするよう呼び掛けている。

  • 関連記事:WordPressの脆弱性を悪用した攻撃の激増で、WordPress 4.7.2へ早急なアップデートを呼び掛け