「WordPress 4.9.7」公開、任意のコードを実行される脆弱性など不具合17件を修正

　WordPressは5日、ブログツール「WordPress」の最新バージョン「4.9.7」を公開した。攻撃者がサーバー上の任意のファイルを削除できる脆弱性など、17件の不具合が修正されており、バージョン「3.7」以降が対象のセキュリティアップデートとなる。WordPressはユーザーに対して早急なアップデートを呼び掛けている。

　独RIPS Technologiesの公式ブログによれば、バージョン「4.9.6」以前には、メディアファイルの編集／削除権限を持つユーザーが、アップロードディレクトリ外にある本来は削除できない「.htaccess」「index.php」「wp-config.php」の各ファイルを、削除できてしまう脆弱性が存在しているという。

　.htaccessには、一部のフォルダーへのアクセス制限が設定されている場合があり、これを削除されるとアクセス制限が無効化される。また、index.phpを削除されると、ディレクトリ内のファイルリストが取得されてしまう。

　また、wp-config.phpにはデータベースの認証情報が含まれており、これが削除されると、WordPressのインストールプロセスが開始されてしまうため、攻撃者が自分の資格情報を利用してインストールを行ったのち、サーバー上で任意のコードが実行されてしまう可能性がある。

　なお、次期バージョンの「4.9.8」については、ベータ版が7月17日、RC版が7月24日、正式版が7月31日にリリースされる予定となっている。