WordPressは最近、最新のアップデートで3つの主要なセキュリティ脆弱性にパッチを適用しました. この欠陥により、クロスサイトスクリプティングとSQLインジェクションが可能になる可能性があります, およびその他の一連の後続の問題. 修正はWordPressのバージョンに影響しました 4.7.1 およびそれ以前. 適用する アップデート できるだけ早くすることを強くお勧めします.
でも, 今述べたセキュリティの問題とは別に、プラットフォームがリモートアクセスやWordPressページの削除につながる可能性のある危険で秘密のゼロデイ脆弱性を修正したことが今では知られています. 彼らがゼロデイを公に発表しなかった理由は、ハッカーを誘惑してゼロデイを悪用させたくなかったからです。. だから彼らは言った.
WordPressのゼロデイ 4.7 と 4.7.1 説明: RESTAPIエンドポイントにおける認証されていない特権昇格の脆弱性
このバグにより、脆弱なWebサイトのすべてのページを変更できました. また, 訪問者が悪意のあるサイトにリダイレクトされ、セキュリティ関連の問題がさらに発生した可能性があります. WordPressは公開発表を1週間延期し、現在、関係者全員に更新を促しています.
関連している: TeslaCryptは現在、侵害されたWordPressページとNuclearEKを介して拡散しています
追加の投稿で, WordPressは書いた:
元のリリース投稿に記載されている3つのセキュリティの脆弱性に加えて, WordPress 4.7 と 4.7.1 開示が遅れたもう1つの脆弱性がありました. RESTAPIエンドポイントに認証されていない特権昇格の脆弱性がありました. WordPressの以前のバージョン, RESTAPIプラグインでも, これに対して脆弱ではありませんでした.
ゼロデイは1月20日に警備会社Sucuriによって報告されました, より具体的には研究者Marc-AlexandreMontpas. 幸運, 攻撃者はバグを悪用していません, 修正は報告された直後に準備されました. それにもかかわらず, WordPressは、問題が非常に深刻であると感じたため、時間をかけて問題をさらにテストしました。.
一方で, Sucuriは、エクスプロイトの試みがブロックされるように、Webアプリケーションファイアウォールに新しいルールを追加しました. 他の会社に連絡した, それも, 更新が完了する前にユーザーを攻撃から保護するための同様のルールを作成する.
スクリは書いた:
月曜日に, 修正のテストと改良を続けている間, 私たちの焦点はWordPressホストに移りました. 脆弱性とユーザーを保護する方法に関する情報を非公開で連絡しました. ホストはセキュリティチームと緊密に連携して保護を実装し、ユーザーに対するエクスプロイトの試みを定期的にチェックしました.
関連している: リモートアクセス攻撃に対して脆弱なNetgearルーター
最終的, 先週の木曜日にアップデートの準備ができました. WordPress4.7.xユーザーは自動更新システムによって迅速に保護されたことに注意することも重要です. でも, WordPressを自動的に更新しないユーザーは、手遅れになる前に自分で更新する必要があります.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: