Google Search Console Teamから下のキャプチャのメールが届きました。

IPAでも取り上げられていますが、WordPress 4.7.0及び4.7.1でREST APIの処理に起因する脆弱性が存在しています。

この脆弱性が突かれた場合、第三者によりサーバー上でコンテンツを改竄される恐れがあるそう。
ちなみにこの脆弱性はWordPress 4.7.2で修正されています。
IPAはもとよりGoogleもアップデートを促すっていうのは相当危険な脆弱性なんでしょう・・・。

WordPress の脆弱性対策について

INTERNET Watch曰く、

脆弱性は、1月26日に公開されたバージョン「4.7.2」で修正されているが、WordPressでは「何百万ものWordPressサイトの安全性確保のため」脆弱性の情報を2月1日まで公表していなかった。

最新バージョンの4.7.2では、REST APIにおける脆弱性のほか、権限のないユーザーにPress Thisのタクソノミー語句を割り当てるユーザーインターフェースが表示される脆弱性、SQLインジェクションの脆弱性、クロスサイトスクリプティング(XSS)の脆弱性の3つも修正されている。

WordPressのREST API脆弱性、国内サイトでもコンテンツ改ざん事例が発生、IPAとJPCERT/CCが注意喚起

安全を守る為、わざと脆弱性の公表を遅らせたんですね。
なお、Google Search Consoleでサイトの改竄有無を確認出来ます。

このブログは改竄無かったみたい。
(ま、誰もこんなブログ見てないと思うけど)
というか、この通知がGoogleから来た時には既に4.7.2に自動アップデートされていました。

WordPressの自動アップデート、一時は停止させようかと思った事もありましたが、確かに考えさせられますね。

参考:
Disclosure of Additional Security Fix in WordPress 4.7.2
Content Injection Vulnerability in WordPress 4.7 and 4.7.1 – Sucuri Blog
WordPress 4.7.1 の権限昇格脆弱性について検証した
WordPressにおけるコンテンツインジェクションの脆弱性に関する調査レポート
WordPress の脆弱性に関する注意喚起
WordPress REST API Vulnerability Abused in Defacement Campaigns


コメントを投稿する

* が付いている項目は必須です。