WordPress.org が提供する WordPress は、オープンソースのCMS（コンテンツマネジメントシステム）です。
WordPress には、REST API の処理に起因する脆弱性が存在します。

本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。

本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートを大至急実施してください。

開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。

図：脆弱性を悪用した攻撃のイメージ

• WordPress 4.7.0 から WordPress 4.7.1

脆弱性の解消 – アップデートする

開発者が脆弱性を修正した最新版を公開していますのでアップデートを実施してください。

WordPress 4.7.2 Security Release
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

また、対策の際には下記レポートもご利用いただければ幸いです。

IPAテクニカルウォッチ「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」
https://www.ipa.go.jp/security/technicalwatch/20160928-1.html

• Disclosure of Additional Security Fix in WordPress 4.7.2
  https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/
• Content Injection Vulnerability in WordPress 4.7 and 4.7.1 – Sucuri Blog
  https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html
• WordPress 4.7.1 の権限昇格脆弱性について検証した
  http://blog.tokumaru.org/2017/02/wordpress-4.7.1-Privilege-Escalation.html
• WordPressにおけるコンテンツインジェクションの脆弱性に関する調査レポート
  https://www.softbanktech.jp/information/2017/20170203-01/?sid=topsld_rp_170203

※IPAウェブサイトより