WordPress 4.9.9 セキュリティリリース
2018年12月13日、WordPress 4.9.9 がリリースされました。
WordPress 3.7以降のすべてのバージョンのセキュリティリリースです。
すぐにサイトを更新することを強くお勧めします。
4.9.9は、5.0にアップグレードせずに自動的に更新するように設定されているWordPressサイトでは、4.9.9に自動アップグレードされます。
5.0にアップグレードされ、自動更新を設定されたサイトでは、5.0.1にアップグレードされます。
4.9.9と同様のセキュリティリリースが行われた5.0.1はWordPress Orgで以下のようにアナウンスされています。
-
Karim El Ouerghemmiは、著者が許可されていないファイルを削除するためにメタデータを変更できることを発見しました。
-
RIPS Technologiesの Simon Scannellは、著者が特別に細工された入力を持つ不正な投稿タイプの投稿を作成する可能性があることを発見しました。
-
サム・トーマスは、貢献者がPHPオブジェクト注入の結果としてメタデータを作成する可能性があることを発見しました。
-
Tim Coen氏は、コントリビュータがより高い権限を持つユーザーからの新しいコメントを編集し、クロスサイトスクリプティングの脆弱性を招く可能性があることを発見しました。
-
Tim Coen氏は、特別に細工されたURL入力が、状況によってはクロスサイトスクリプティングの脆弱性を引き起こす可能性があることも発見しました。WordPress自体は影響を受けていませんでしたが、プラグインはいくつかの状況にある可能性があります。
-
チームYoastは、いくつかの珍しい構成でユーザーアクティベーション画面を検索エンジンで索引付けすることができ、電子メールアドレスの公開につながり、場合によってはデフォルトのパスワードが生成されることを発見しました。
-
Tim CoenとSlavcoは、Apacheホストサイトの作者がMIME検証をバイパスする細工されたファイルをアップロードし、クロスサイトスクリプティングの脆弱性を引き起こすことを発見しました。
詳しくは下のWordPress Org Version 5.0.1 のページで確認してください。
『WordPress Org Version 5.0.1』