早急に「WordPress 4.7.2」へ更新を - 攻撃容易、改ざん被害も
WordPressにおいて、認証を必要とせずに外部より改ざんが可能となる深刻な「コンテンツインジェクション」の脆弱性が明らかになった問題で、すでに改ざん被害が確認されており、セキュリティ機関などが早急にアップデートを実施するよう注意を呼びかけている。

脆弱性を悪用する際の流れ(図:IPA)
注意喚起が行われている脆弱性は、コンテンツマネジメントシステム(CMS)である「WordPress 4.7」にてデフォルトで有効化された「REST API」の処理に関する脆弱性。
認証を行うことなく、外部よりコンテンツを改ざんすることが可能となる。
開発グループでは、1月26日に脆弱性を解消したセキュリティアップデート「同4.7.2」をリリースしたが、公開当時は同脆弱性の修正について明かされていなかった。
2月1日に同脆弱性の詳細をSucuriが公表。続いて翌2日に公表に至った経緯を開発者が明らかにし、深刻な脆弱性であることから、自動更新などが適用される期間を配慮した上で、情報開示を1週間延期したと説明している。
すでに脆弱性の実証コードが流通しており、セキュリティ機関や研究者より容易に脆弱性を悪用することが可能であるとして注意喚起を実施。
JPCERTコーディネーションセンターによれば、対象となるバージョンを利用する国内サイトが複数被害に遭っており、今回の脆弱性を悪用した事例も確認されている。
またWordPressを導入している利用者を抱えるホスティング事業者も注意喚起を開始。一部事業者によると、2月4日夜半より同脆弱性を悪用したと見られる改ざん被害が多数報告されているという。
(Security NEXT - 2017/02/06 )
ツイート
関連リンク
PR
関連記事
「Active! mail」に深刻な脆弱性、すでに悪用も - 侵害確認方法を調査中
米政府、WindowsやApple複数製品の脆弱性悪用に注意喚起
Dell「PowerScale OneFS」に深刻な脆弱性 - 乗っ取りリスクも
リモートアクセス製品「SonicWall SMA100」の既知脆弱性が標的に
「Chrome」に2件の脆弱性 - 重要度「クリティカル」も
「Omnissa UAG」にCORSバイパスの脆弱性 - アップデートを公開
Apple、「macOS Sequoia 15.4.1」をリリース - 脆弱性2件へ対処
ASUS製ルータの脆弱性、ベンダー発表以上に高リスク - 国内外で被害拡大
Apple、「iOS 18.4.1」「iPadOS 18.4.1」を公開 - ゼロデイ脆弱性を修正
「Apache Roller」にPW変更後もログインセッションが破棄されない脆弱性