以下は、Pascal Birchler が書いた WordPress.org 公式ブログの記事、「WordPress 4.7.5 Security and Maintenance Release」を訳したものです。
誤字脱字誤訳などありましたらフォーラムまでお知らせください。
WordPress 4.7.5 が公開されました。これは過去のすべてのバージョンに対するセキュリティリリースですので、今すぐサイトの更新を行うことを強く勧めます。
WordPress 4.7.4 とそれ以前のバージョンは、以下の6件のセキュリティ問題の影響を受けます:
- HTTP クラスにおける不十分なリダイレクト妥当性確認。Ronni Skansing により報告された。
- XML-RPC API における投稿メタデータ値の不適切な操作。Sam Thomas により報告された。
- XML-RPC API 投稿メタデータ操作における権限確認の不足。WordPress セキュリティチームの Ben Bidner により報告された。
- ファイルシステム認証情報ダイアログに見つかったクロスサイトリクエストフォージェリ (CRSF) 脆弱性。Yorick Koster により報告された。
- 非常に大きいファイルのアップロードを試みた際に見られるクロスサイトスクリプティング (XSS) 脆弱性。Ronni Skansing により報告された。
- Customizer 関連のクロスサイトスクリプティング (XSS) 脆弱性。WordPress セキュリティチームの Weston Ruter により報告された。
適切なプロセスに則った報告に感謝します。
これらのセキュリティ関連の問題に加えて、WordPress 4.7.5 では3件のメンテナンス修正を行なっています。詳しくはリリースノートや変更リストを参照してください。
WordPress 4.7.5 への更新は ダッシュボード > 更新 メニューから。自動バックグラウンド更新をサポートしているサイトではすでに更新のプロセスが進んでいるはずです。
4.7.5 に貢献されたすべての方々に感謝します。