以下は、James Nylen が書いた WordPress.org 公式ブログの記事、「WordPress 4.7.3 Security and Maintenance Release」を訳したものです。
誤字脱字誤訳などありましたらフォーラムまでお知らせください。
WordPress 4.7.3 が公開されました。これは過去の全バージョンのためのセキュリティリリースであり、即時のサイト更新を強く勧告するものです。
WordPress 4.7.2 およびその他過去のバージョンに、次の6件のセキュリティ上の問題が存在します:
- メディアファイルのメタデータを介したクロスサイトスクリプティング (XSS) 脆弱性。Chris Andrè Dale、Yorick Koster、Simon P. Briggs による報告。
- 制御文字を利用したリダイレクト URL 検証回避の可能性。Daniel Chatfield による報告。
- プラグイン削除を行う機能を利用して管理者による意図しないファイル削除が実行される可能性。xuliang による報告。
- YouTube 動画埋め込み URL を介したクロスサイトスクリプティング (XSS) 脆弱性。Daniel Cid による報告。
- タクソノミー語句名に関連したクロスサイトスクリプティング (XSS) 脆弱性。Delta による報告。
- Press This におけるクロスサイトリクエストフォージェリ (CSRF) によりサーバーリソースの過剰利用が引き起こされる問題。Sipke Mellema による報告。
適切なプロセスに則った報告に感謝します。
上記のセキュリティに関する問題に加えて WordPress 4.7.3 では 4.7 リリースシリーズに対する39件のメンテナンス修正が実施されています。より詳しい情報はリリースノートと変更リストを参照してください。
WordPress 4.7.3 への更新は ダッシュボード > 更新 メニューから。自動バックグラウンド更新をサポートしているサイトではすでに更新のプロセスが進んでいるはずです。