セキュリティブログ

【脆弱性情報/IPA発表】WordPressの脆弱性対策について

2017.02.06

以下、WordPressの深刻な脆弱性情報についてIPA情報です。

本件の対策として、WordPressを最新バージョンにアップデートする以外に基本的な対応方法がない状況です。
該当バージョンのWordPress(バージョン4.7および4.7.1)をご利用になられている場合は、早急にバージョン4.7.2へのアップデートをよろしくお願いいたします。

”概要

WordPress.org が提供する WordPress は、オープンソースのCMS(コンテンツマネジメントシステム)です。
WordPress には、REST API の処理に起因する脆弱性が存在します。

本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。

本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートを大至急実施してください

開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。

脆弱性を悪用した攻撃のイメージ
図:脆弱性を悪用した攻撃のイメージ

影響を受けるバージョン

  • WordPress 4.7.0 から WordPress 4.7.1

対策

脆弱性の解消 – アップデートする

開発者が脆弱性を修正した最新版を公開していますのでアップデートを実施してください。

WordPress 4.7.2 Security Release
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

また、対策の際には下記レポートもご利用いただければ幸いです。

IPAテクニカルウォッチ「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」
https://www.ipa.go.jp/security/technicalwatch/20160928-1.html

参考情報

更新履歴

2017年2月6日 掲載”

IPAウェブサイトより