以下は、Jake Spurlock が書いた WordPress.org 公式ブログの記事、「WordPress 5.2.3 Security and Maintenance Release」を訳したものです。
誤字脱字誤訳などありましたらフォーラムまでお知らせください。
WordPress 5.2.3が利用可能になりました!
このセキュリティとメンテナンスのリリースでは29件の修正と強化を施しました。さらに、多数のセキュリティ修正が加わっていますので、下の一覧をご覧ください。
これらのバグは WordPress 5.2.2以下に影響を与えます。バージョン5.2.3ではこれらを修正していますので、アップグレードをしてください。
まだ5.2にアップデートしていない場合は、5.0とそれ以前のバージョンにもアップデートされたバージョンがあります。
セキュリティ関連のアップデート
- 2件の問題を発見、開示してくれた Simon Scannell of RIPS Technologies に感謝します。1つ目は、投稿者権限での投稿プレビューで見つかったクロスサイトスクリプティング (XSS) 脆弱性です。2つ目は保存されたコメントでのクロスサイトスクリプティング脆弱性です。
- オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題を開示してくれたに Tim Coen 感謝します。
- メディアアップロード中の反射型クロスサイトスクリプティングについて開示してくれたに Anshul Jain 感謝します。
- ショートコードに関するクロスサイトスクリプティング (XSS) の脆弱性を開示してくれた Zhouyuan Yang of Fortinet’s FortiGuard Labs に感謝します
- ダッシュボードで起こりうる反射型クロスサイトスクリプティングのケースを見つけて開示してくれたコアセキュリティチームのIan Dunn に感謝します。
- クロスサイトスクリプティング (XSS) 攻撃を招きかねない URL のサニタイズに関する問題を開示してくれた NCC グループからの Soroush Dalili (@irsdl) に感謝します。
- 上記の変更に加え、WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
すべての変更箇所は Trac で閲覧可能です。
詳細な情報は Trac 上で変更箇所一覧を閲覧するか、バージョン5.2.3ドキュメントページを参照してください。
WordPress 5.2.3はショートサイクルメンテナンスリリースです。次のメジャーリリースはバージョン5.3です。
WordPress 5.2.3はこのページの上の方にあるボタンからダウンロード可能です。もしくはダッシュボード
更新と進み、今すぐ更新するをクリックしてください。自動バックグラウンド更新をサポートしているサイトは、すでに自動更新がはじまっています。
感謝と称賛!
このリリースは62名ものコントリビューターとともにリリースされました。このリリースに協力していただいた皆さんに感謝します!
Adam Silverstein, Alex Concha, Alex Goller, Andrea Fercia, Andrew Duthie, Andrew Ozz, Andy Fragen, Ashish Shukla, Aslam Shekh, backermann1978, Catalin Dogaru, Chetan Prajapati, Chris Aprea, Christoph Herr, dan@micamedia.com, Daniel Llewellyn, donmhico, Ella van Durpe, epiqueras, Fencer04, flaviozavan, Garrett Hyder, Gary Pendergast, gqevu6bsiz, Hardik Thakkar, Ian Belanger, Ian Dunn, Jake Spurlock, Jb Audras, Jeffrey Paul, jikamens, John Blackbourn, Jonathan Desrosiers, Jorge Costa, karlgroves, Kjell Reigstad, laurelfulford, Maje Media LLC, Martin Spatovaliyski, Mary Baum, Monika Rao, Mukesh Panchal, nayana123, Ned Zimmerman, Nick Daugherty, Nilambar Sharma, nmenescardi, Paul Vincent Beigang, Pedro Mendonça, Peter Wilson, Sergey Biryukov, Sergey Predvoditelev, Sharaz Shahid, Stanimir Stoyanov, Stefano Minoia, Tammie Lister, tellthemachines, tmatsuur, Vaishali Panchal, vortfu, Will West, そして yarnboy.