Automatticは3月7日(米国時間)、「WordPress 4.7.3 Patches Six Security Vulnerabilities, Immediate Update Advised|WordPress Tavern」において、WordPress 4.7.2に6つの脆弱性が存在すると伝えた。すでに脆弱性を修正したWordPress 4.7.3が公開されており、Automatticはユーザーに対してこの最新版へアップグレードすることを強く推奨している。
WordPress 4.7.2に存在する主な脆弱性は次のとおり。
- メディアファイルメタデータ、YouTubeに組み込まれたビデオURL、分類用語名に影響を与えるクロスサイトスクリプティング脆弱性
- 制御文字列によるリダイレクトURL検証の回避
- プラグイン削除機能を使うことで管理者が意図せずにファイルを削除してしまう脆弱性
- Press Thisにおけるクロスサイトリクエスト偽造によってサーバリソースが大量消費される脆弱性
WordPressは世界中で最も多く使われているCMS。多数のユーザーがいることもあって攻撃の対象とされやすい。発見された脆弱性は攻撃に悪用されることが多いため、アップデート版が提供された場合には迅速にアップデートを実施することが推奨される。