WordPress 4.7.1 セキュリティ・メンテナンスリリース

以下は、Aaron D. Campbell が書いた WordPress.org 公式ブログの記事、「WordPress 4.7.1 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 4.7 は2016年12月6日のリリース以来、ダウンロード数が1千万回を超えました。本日その最新版となる WordPress 4.7.1 が利用可能となりましたのでお知らせします。これはセキュリティリリースであり、以前のバージョンを使用しているすべての方に速やかなアップデートを勧告するものです。

WordPress 4.7 およびそれ以前の全リリースは以下8件のセキュリティ問題の影響を受けます:

  1. PHPMailer の遠隔コード実行 – 調査の結果、WordPress および主要なプラグインがこの問題の影響を受ける可能性はないことがわかっていますが、広範囲に影響しうる問題のため今回のリリースで PHPMailer のアップデートを行いました。この問題は Dawid GolunskiPaul Buonopane により PHPMailer に対して報告されました。
  2. 公開 (public) の投稿タイプの投稿を作成したすべてのユーザーのデータが REST API 経由で参照可能になる問題。WordPress 4.7.1 では REST API で参照可能と指定された投稿タイプに限定されるよう制限が加わります。KrogsgardChris Jean により報告されました。
  3. update-core.php のプラグイン名またはバージョンのヘッダーを利用したクロスサイトスクリプティング (XSS)。WordPress セキュリティチームの Dominik Schilling により報告されました。
  4. Flash ファイルのアップロードに関連したクロスサイトリクエストフォージェリ (CSRF)。Abdullah Hussam により報告されました。
  5. テーマ名のフォールバックを利用するクロスサイトスクリプティング (XSS)。Mehmet Ince により報告されました。
  6. メールによる投稿でデフォルト設定の mail.example.com が変更されていない場合の対応。WordPress セキュリティチームの John Blackbourn により報告されました。
  7. ウィジェット編集のアクセシビリティモードに関連したクロスサイトリクエストフォージェリ (CSRF)。Ronnie Skansing により報告されました。
  8. マルチサイト有効化キーの強度不十分な暗号セキュリティ。Jack により報告されました。

適切なプロセスに則った報告に感謝します。

これらのセキュリティ関連の問題に加え、WordPress 4.7.1 では 4.7 リリース以降に発見された62個のバグを修正しています。より詳しい情報はリリースノート変更リストを参照してください。

WordPress 4.7.1 への更新は ダッシュボード > 更新 メニューから。自動バックグラウンド更新をサポートしているサイトではすでに更新のプロセスが進んでいるはずです。