別のセキュリティ上の重大な問題を修正した「WordPress 4.2.1」がリリース

公開日: 2015/04/28
カテゴリー: WordPress
  • このエントリーをはてなブックマークに追加

2015年4月21日にセキュリティ上の重大な問題を修正した「WordPress 4.1.2 」がリリースと報告した後、2015年4月24日に、WordPress 4.2“Powell”がリリースされたWordPressですが、別のセキュリティホールに対応したWordPress 4.2.1が本日リリースされました。

WordPress 4.2.1 Security Release

WordPress 4.2.1 Security Release

WordPress 4.2.1 Security Release

全バージョンに深刻な脆弱性が存在

今回は、前回とは別の深刻なクロスサイトスクリプティング(XSS)の脆弱性が見つかったものです。

この脆弱性は、以下の記事によるとこれまでの全バージョンに存在するようです。

ITmedia エンタープライズ:「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在

フィンランドのセキュリティ企業Klikkiは4月26日に公開したアドバイザリーで、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを確認したと伝えていた。

この問題を悪用された場合には、アカウントの乗っ取りなどが可能になる模様。

Klikkiによれば、この問題を悪用された場合、認証を受けない攻撃者がWordPressのコメントにJavaScriptを挿入して、サーバ上で任意のコードを実行したり、管理者パスワードの変更や新しい管理者アカウントの追加といった操作をすることが可能になるという。

この記事で気になるのは以下の部分。

脆弱性報告を巡ってKlikkiは、「2014年11月からWordPressに連絡を取ろうと試みてきたが、すべて拒否された」と訴えていた。

こういった脆弱性には早めに対応をしてくれないと、WordPressに対する信頼性が失墜し兼ねないので、機能追加よりもまずはセキュリティ面の対応を行っていただきたいところですね。

タグ: , , , ,