【WordPress】コンテンツインジェクションの脆弱性で改ざん被害が多発中、4.7.0-4.7.1のバージョンは直ちにアップデートを!

WrodPressの改ざん被害が多発、速やかなアップデートを トップシェアを誇るCMS、WordPressにきわめて重大な脆弱性が発見され、改ざん被害が多発しています。 あまりに深刻なため、情報公開を先送りしたという経緯 […]

WrodPressの改ざん被害が多発、速やかなアップデートを

トップシェアを誇るCMS、WordPressにきわめて重大な脆弱性が発見され、改ざん被害が多発しています。

あまりに深刻なため、情報公開を先送りしたという経緯も。

http://www.itmedia.co.jp/enterprise/articles/1702/03/news063.html

丸川大臣はじめ、各種公的サイトでも改ざん被害が発生しています。

丸川五輪相HPに謎のメッセージ ハッキング被害急増

http://www.asahi.com/articles/ASK265DWBK26ULZU00R.html

WebRepairでも今年に入ってからのお問い合わせ数は急増しており、1月は200サイト弱のご相談がありました。

この2月も毎日何件ものご相談を頂いている状態ですが、夜間作業も含め最短180分とスピーディーな復旧対応を行っています。

対象となるWordPressのバージョン

4.7.0、4.7.1

修正されたWordPressのバージョン

4.7.2

最新版4.7.2ではこの脆弱性は修正されています。よって、これ以前のバージョンを利用されている場合は速やかなアップデートが必要です。

なお、この脆弱性を利用したコンテンツ改ざんの手法はすでにYoutubeなどでも公開されており、大変危険ですのでくれぐれも速やかにアップデートして下さい。

この脆弱性によるコンテンツインジェクション(コンテンツの改ざん)を再現する

攻撃コードがネット上でも容易に手に入る状態でもあるため、この脆弱性を利用した改ざんを当社にて再現しました。

認証は必要なく、簡単なリクエストを送るだけでコンテンツを改ざんすることが可能です。

つまり、ログイン等不要で誰でも外部からコンテンツを改変できるわけですから、完全に無防備の状態と言えます。