WordPress 4.5.2 セキュリティリリース

以下は、Helen Hou-Sandi が書いた WordPress.org 公式ブログの記事、「WordPress 4.5.2 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください

(訳注: セキュリティ問題の報告者である Kinugawa 氏にご指摘いただき、SOME 脆弱性および反射型 XSS に関する訳を公開後に修正しました)


WordPress 4.5.2 がご利用いただけるようになりました。これは以前のすべてのバージョンに対するセキュリティリリースであり、サイトを今すぐ更新することを強くおすすめします。

WordPress バージョン 4.5.1 およびそれ以前のバージョンは、WordPress がファイルアップロードのために使っているサードパーティライブラリである Plupload を通して SOME (Same Origin Method Execution) 脆弱性にさらされています。WordPress バージョン 4.2 から 4.5.1 は、MediaElement.js を利用して特別に作った URI を使う、反射型 XSS 攻撃に対する脆弱性があります。MediaElement.js は、メディアプレイヤー用のサードパーティライブラリです。MediaElement.js および Plupload は、いずれもこの問題を修正する更新をリリースしています

これらの問題は両方とも、Cure53 の Mario Heiderich、Masato Kinugawa、Filedescriptor によって分析・報告されました。責任ある情報公開プロセスに従ってくれた彼らと、問題を修正するために私達と密接に協力してくれた Plupload、MediaElement.js チームに感謝します。

WordPress 4.5.2 をダウンロードするか、「ダッシュボード → 更新」に移動して「今すぐ更新」をクリックしてください。自動バックグラウンド更新に対応しているサイトは、順次 WordPress 4.5.2 への自動更新が始まるはずです。

さらに、広範に公開された ImageMagick 画像処理ライブラリの脆弱性も複数存在しています。このライブラリは、WordPress に対応した多くのホスティングサービスにおいて使われています。これらの問題に対する私達の現在の反応については、コア開発ブログのこの投稿をご覧ください。