WordPressの4.7および4.7.1の重大な脆弱性がみつかった。この脆弱性のために認証をせずにコンテンツの改ざんが可能となっています。
重要性が非常に高いと判断します
本サイトではアップル製品以外のセキュリティはあまり取り扱っていませんが、かなり多くの方につかわれているWordpress(ブログを作成するためのコンテンツマネージャです)のことですので、緊急性の高い告知事項と判断して記載することにしました。
この脆弱性は、Wordpress4.7から採用されたRest APIがデフォルトで有効となっているために、ある特殊な操作により認証をしなくても内容の改ざんが可能になってしまうものです。
WordPressがこの脆弱性に対応した最新のバージョン4.7.2を1月26日にリリースしましたが、脆弱性を公表せずに自動更新される期間として1週間後の2月2日に公表することにしました。
被害は実際に発生しています。早めの対処をしてください
もう既に実被害の報告が上がっていますので、もしWordpress4.7および4.7.1を使用している場合は、ただちにWordpress4.7.2にアップデートしてください。これ以前のバージョンをつかっている場合はアップデートの必要はありません。またアップデート以外の対処方法として、REST APIを無効にする公式プラグイン「Disableをインストールする方法もあります(※あまりおすすめできませんが)。
WordPress4.7.2にはそのほかのバグ修正も含まれています。
WordPress4.7.2にはそのほかのセキュリティに関するバグ修正も含まれています。Wordpress Codex日本語版公式サイトによれば、
- 権限のないユーザーにPress Thisのタクソノミー語句を割り当てるユーザーインターフェースが表示される脆弱性
- SQLインジェクションの脆弱性
- クロスサイトスクリプティング(XSS)の脆弱性
もう少し詳しい情報がほしい場合
以下のサイトにもう少し詳しい情報が掲載されているようです。参考にしてみてください。
WordPress 4.7.1 の権限昇格脆弱性について検証した
エグゼクティブサマリ WordPress 4.7と4.7.1のREST APIに、認証を回避してコンテンツを書き換えられる脆弱性が存在する。攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。対策はWordPressの最新版にバージョンアップす...
blog.tokumaru.org
(via WordPress Codex日本語版)