以下は、Gary Pendergast が書いた WordPress.org 公式ブログの記事、「WordPress 4.8.3 Security Release」を訳したものです。
誤字脱字誤訳などありましたらフォーラムまでお知らせください。
WordPress 4.8.3 が公開されました。これはセキュリティリリースです。過去のバージョンを使用しているすべてのサイトに対する即時のアップデートが強く推奨されます。
WordPress 4.8.2 以前のバージョンにおいて、$wpdb->prepare()
が本来想定しない安全でないクエリーを出力する問題が確認され、この問題が SQL インジェクション (SQLi) に利用される可能性があります。WordPress 本体に関してはこの問題に対する直接的な脆弱性は認められていませんが、プラグインやテーマに不備が生じて脆弱性をもたらす危険性があり得るため、対応を強化しました。この問題は Anthony Ferrara により報告されました。
今回のリリースには esc_sql()
関数の挙動の変更が含まれます。大半の開発者はこの変更の影響を受けないものと思いますが、より詳細は開発者ノートを確認してください。
適切な情報開示に則ってこの問題の報告を行ってくださった皆さんに感謝します。
WordPress 4.8.3 (日本語版)をダウンロード、または [ダッシュボード] [更新] メニューから「今すぐ更新」をクリック。自動バックグラウンド更新が有効なサイトではすでに WordPress 4.8.3 へのアップデートが始まっているでしょう。