WordPress、脆弱性を修正したWordPress 4.7.2を公開
WordPressは脆弱性を修正したWordPress 4.7.2を公開した。今回のアップデートではWordPress 4.7.1とそれ以前に存在するWP_Query の SQL インジェクションの脆弱性、投稿リストテーブルのクロスサイトスクリプティング (XSS) 脆弱性、Press This のタクソノミー語句割当てユーザーインタフェースが使用権限のないユーザーにも表示される問題に対応した。
後日、WordPress 4.7.2が公開された時点では公開されていなかった脆弱性情報が同社ブログにて公開されてた。今回の情報公開遅延は、WordPressサイトの安全確保のため、多くのユーザのWordPressの自動更新がされるのを待つために意図的に1週間遅らせていた。今回新たに公開された脆弱性はWordPress REST APIに存在する脆弱性で、悪用されると認証を受けないユーザに、WordPressのサイトページやコンテンツを改ざんされる恐れがある。WordPress 4.7.2が公開された時点では脆弱性を悪用した攻撃は確認されていなかったが、現在IPAにより脆弱性を悪用した攻撃コードが確認されており、アップデートをしていないユーザは早急にアップデートするよう呼び掛けている。
