Automatticは1月26日(米国時間)、「WordPress 4.7.2 Security Release」において、WordPressの最新版となる「WordPress 4.7.2」の公開を伝えた。このバージョンは脆弱性を修正したセキュリティリリースと位置づけられており、Automatticはすべてのユーザーに対して迅速に最新版へのアップグレードすることを強く推奨している。
1つ前のバージョンとなるWordPress 4.7.1に存在するとされている脆弱性は次のとおり。
- カスタム投稿タームを設定するユーザーインタフェースが権限を持っていないユーザーにも表示されてしまう
- 安全ではないデータが渡された時にWP_QueryがSQLインジェクション攻撃を受ける可能性がある
- ポストリストテーブルに存在するクロスサイトスクリプティングの脆弱性
攻撃者は遠隔からこれら脆弱性を悪用して、影響を受けたサイトの制御権を乗っ取ることができるとされている(WordPress Releases Security Update|US-CERT)。該当するプロダクトを使用している場合は迅速に最新版へアップグレードすることが望まれる。