WordPress 5.0.1 セキュリティリリース

以下は、Ian Dunn が書いた WordPress.org 公式ブログの記事、「WordPress 5.0.1 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 5.0.1 がご利用いただけるようになりました。これは WordPress 3.7 以降のすべてのバージョンに対するセキュリティリリースとなります。今すぐにサイトの更新を行うことを強くおすすめします。

プラグイン作者は、後方互換性の情報を得るために5.0.1 開発者ノートを読むことをおすすめします。

バージョン 5.0 以前の WordPress はバージョン 5.0.1 で修正された、以下のバグの影響を受けます。 5.0 にまだアップデートしていないユーザーのために、WordPress 4.9 以前のリリースの更新版もご利用いただけます。

  • Karim El Ouerghemmi は、投稿者が権限のないファイルを削除できるよう、メタデータを変更できてしまうことを発見しました。
  •  RIPS Technologies の Simon Scannell は、投稿者が特別に細工された入力を使うことで、権限のない投稿タイプの投稿を作成できてしまうことを発見しました。
  • Sam Thomas は、寄稿者が PHP オブジェクトインジェクションをもたらす方法でメタデータを細工できてしまうことを発見しました。
  • Tim Coen は、クロスサイトスクリプティングの脆弱性につながり得る、より高い権限を持つユーザーからの新規コメントを寄稿者が編集できてしまうことを発見しました。
  • Tim Coen は、特別に細工された URL の入力が状況次第でクロスサイトスクリプティングの脆弱性につながり得ることも発見しました。WordPress 自体は影響を受けませんでしたが、プラグインは場合によっては影響を受ける可能性がありました。
  • Team Yoast は、メールアドレスや、稀なケースではデフォルトの生成パスワードの漏洩につながり得る、ユーザー有効化画面が珍しい設定で検索エンジンにインデックスされてしまうことを発見しました。
  • Tim Coen と Slavco は、クロスサイトスクリプティングの脆弱性につながり得る、Apache でホストされたサイトの投稿者が、MIME 検証をバイパスする、特別に細工されたファイルをアップロードできてしまうことを発見しました。

WordPress のサイトが攻撃される前に脆弱性を修正する時間を与えてくれた、非公開で脆弱性を公開してくださった、すべての報告者に感謝いたします。

WordPress 5.0.1 をダウンロードするか、思い切ってダッシュボード → 更新と 進み、今すぐ更新するをクリックしてください。自動バックグラウンド更新をサポートしているサイトは、すでに自動更新がはじまっています。

上述したセキュリティ研究者に加えて、5.0.1 に貢献した皆さんに感謝いたします。

Alex ShielsAlex ConchaAnton TimmermansAndrew OzzAaron CampbellAndrea MiddletonBen BidnerBarry AbrahamsonChris ChristoffDavid NewmanDemitrious KellyDion HulseHannah NotessGary PendergastHerre GroenIan DunnJeremy FeltJoe McGillJohn James JacobyJonathan DesrosiersJosepha HadenJoost de ValkMo JangdaNick DaughertyPeter WilsonPascal BirchlerSergey BiryukovValentyn Pylypchuk