ついこの間、4.7.1のアップデートが来たばかりのWordpress、4.7.2のアップデートが続けて来る事になった。
WordPress.org WordPress 4.7.2 セキュリティリリース
- Press This のタクソノミー語句を割り当てるユーザーインタフェースが使用権限のないユーザーにまで表示される。Alley Interactive の David Herrera により報告されました。
- 安全でないデータが渡された時に発生する WP_Query の SQL インジェクション (SQLi) 脆弱性。WordPress コアがこの問題の影響を直接受けることはありませんが、プラグインやテーマが絡むケースを考慮して安全性強化のために対策を行うものです。Mo Jangda (batmoo) により報告されました。
- 投稿リストテーブルで発見されたクロスサイトスクリプティング (XSS) 脆弱性。WordPress セキュリティチームの Ian Dunn により報告されました。
再びXSSの脆弱性修正と、プラグインに影響しそうな脆弱性の修正もあったり、3件ののみの修正であってもこれだけ早くこの修正が来た事を考えれば、早急にアップデートをした方が良さそうです。日本語版は、もう少ししたらインストール出来るように思います。
2/6追記 安全確保まで公開されなかったも一つの修正
4.7.2のアップデートが来て、多くの人がアップデートをしたであろう事を見計らって情報開示された修正があったようです。
WordPress org Disclosure of Additional Security Fix in WordPress 4.7.2
ソフトバンク・テクノロジーがこの脆弱性を利用した実験までしてこの深刻性を説明してくれているけど、これを読む限り、かなり簡単にWPの管理を乗っ取れる事がわかります。
WordPressにおけるコンテンツインジェクションの脆弱性に関する調査レポート
WPのアップデート本文に追記された部分にも、
An unauthenticated privilege escalation vulnerability was discovered in a REST API endpoint. Reported by Marc-Alexandre Montpas of Sucuri Security.
とあって、サイトの運営者等の権限が勝手に昇格されると言うRest APIのエンドポイントで発見された脆弱性だと言ってます。
こういう危険を持った脆弱性だけに、Wordpress側はこれが悪用されないように発表を控え、多くの人が4.7.2にアップデートするまで待つ事になったようで、今のところは殆ど被害は報告されてないようです。
追記: 国内では被害が出ている模様...
WordPressのREST API脆弱性、国内サイトでもコンテンツ改ざん事例が発生、IPAとJPCERT/CCが注意喚起
当然の事だけど、4.7.2にアップデートしてない人は速攻でアップデートして下さい。
今だから言えるけど、この記事の最初にも書いていた通り、4.7.1のアップデートが来てすぐ2週間後に4.7.2のアップデートが来て、なんか変だな...と思っていたら、実はこういう深刻な修正が含まれていたと言う事で、個人的にはかなり納得。Wordpressの運営側の人はお疲れ様です。
関連記事: WordPress アップデートしないサイトの被害相次ぐ WPでのサイト運営を”簡単なこと”に考えてはいけない