WordPress 4.8.2 セキュリティ及びメンテナンスリリース

以下は、Aaron D. Campbell が書いた WordPress.org 公式ブログの記事、「WordPress 4.8.2 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 4.8.2 が利用可能になりました。これは以前のすべてのバージョンに対するセキュリティリリースですので、直ちにアップデートすることを強くおすすめします。

バージョン4.8.1以前では以下のセキュリティ問題があります:

  1. $wpdb->prepare() が潜在的なSQLインジェクションを引き起こす予想外の安全ではないクエリを作成する可能性があります。WordPressコアは直接的にはこの問題の影響を受けませんが、プラグインやテーマが間違って脆弱性を生み出すことを防ぐための強化措置を追加しました。Slavcoによって報告されました。
  2. クロスサイトスクリプティングの脆弱性がoEmbed検知で見つかりました。WordPressセキュリティチームの xknown によって報告されました。
  3. クロスサイトスクリプティングの脆弱性がビジュアルエディタに見つかりました。Sucuri SecurityのRodolfo Assis (@brutelogic)によって報告されました。
  4. ファイルのzip展開コードにディレクトリトラバーサルの脆弱性が見つかりました。Alex Chapman (noxrnet)によって報告されました。
  5. クロスサイトスクリプティングの脆弱性がプラグインエディタに見つかりました。陈瑞琦 (Chen Ruiqi)によって報告されました。
  6. オープンリダイレクトがユーザとタームの編集画面に見つかりました。 Yasin Soliman (ysx)によって報告されました。
  7. カスタマイザーにディレクトリトラバーサルの脆弱性が見つかりました。WordPressセキュリティチームの Weston Ruter によって報告されました。
  8. クロスサイトスクリプティングの脆弱性がテンプレート名に見つかりました。 Luka (sikic)によって報告されました。
  9. クロスサイトスクリプティングの脆弱性がリンクモーダルに見つかりました。Anas Roubi (qasuar) によって報告されました。

適切なプロセスに則った報告に感謝します。

上記セキュリティ問題に加え、WordPress 4.8.2では4.8リリースシリーズに対して6件の修正を含んでいます。詳細はリリースノート、もしくは変更点リストを参照してください。

4.8.2をダウンロードするか、ダッシュボードの更新で「更新する」をクリックしてください。自動バックグラウンド更新をサポートしているサイトではすでにWordPress4.8.2への更新のプロセスが進んでいるはずです。

4.8.2に貢献してくださったすべての方に感謝します。