以下は、Gary Pendergast が書いた WordPress.org 公式ブログの記事、「WordPress 4.1.2 Security Release」を訳したものです。
誤字脱字誤訳等ありましたらフォーラムまでお知らせください。
WordPress 4.1.2 の日本語版はこちらからダウンロードできます。
WordPress 4.1.2 が公開されました。これはセキュリティ上の重大な問題を修正するものですので今すぐ更新してください。
WordPress 4.1.1 以前のバージョンは深刻なクロスサイトスクリプティング脆弱性の影響を受けます。これにより権限のないユーザーによるサイトの不正操作が可能になります。この問題は Cedric Van Bockhaven により報告され、WordPress セキュリティチームの Gary Pendergast、Mike Adams、Andrew Nacin により修正されました。
また、その他に以下3点のセキュリティ上の問題が修正されています:
- WordPress 4.1 以降のバージョンで、不正な、あるいは安全でない名前のファイルをアップロードすることが可能になっていた。この問題は HSASec の Michael Kapfer と Sebastian Kraemer により発見されました。
- WordPress 3.9 以降のバージョンで、ソーシャル・エンジニアリング攻撃の一環として非常に限られた条件下で有効になるクロスサイトスクリプティング脆弱性が確認された。この問題は Jakub Zoczek により発見されました。
- 一部のプラグインに SQL インジェクション脆弱性が確認された。この問題は WordPress セキュリティチームの Ben Bidner により発見されました。
また、セキュリティ強化のための4点の変更を実施しました。J.D. Grimes、 Divyesh Prajapati、Allan Collins、Marc-Alexandre Montpas がその対応を行いました。
これらの問題に関する適切な情報開示が直接私たちのセキュリティチームに対して行われたことに感謝します。より詳しい情報はリリースノートと変更リストをご確認ください。
WordPress 4.1.2 をダウンロードして手動で更新するか、または ダッシュボード
更新 からワンクリックでの更新が可能です。自動バックグラウンド更新をサポートするサイトではすでに WordPress 4.1.2 への更新が始まっているでしょう。4.1.2 への貢献があった皆さんに感謝します: Allan Collins、Alex Concha、Andrew Nacin、Andrew Ozz、Ben Bidner、Boone Gorges、Dion Hulse、Dominik Schilling、Drew Jaynes、Gary Pendergast、Helen Hou-Sandí、John Blackbourn、そして Mike Adams。
また、いくつかのプラグインにおいて昨日セキュリティ修正版がリリースされています。すべて最新の状態を維持して安全性を確保しましょう。プラグイン開発者の方はこちらの記事を参照してあなたのプラグインが同様の問題の影響を受けていないことを確認してください。セキュリティチームと密に連携をとって協調対応を行ってくれたすべてのプラグイン開発者の皆さん、ありがとうございました。
WordPress 4.2 のテストはもう行っていますか? 今回の修正が含まれているリリース候補の第3弾が公開されています(zip)。4.2 に関するさらに詳しい情報はリリース候補のお知らせ記事をご覧ください。