WordPress 5.2.4 セキュリティリリース

以下は、Jake Spurlock が書いた WordPress.org 公式ブログの記事、「WordPress 5.2.4 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 5.2.4が利用可能になりました! このセキュリティリリースでは6件のセキュリティ問題が修正されています。

このバージョン5.2.4で修正されたバグは WordPress バージョン5.2.3以前のバージョンで影響を受けます。まだ5.2にアップデートしていないユーザーのために WordPress 5.1以前のバージョンでもアップデートが利用可能です。

セキュリティアップデート

  • 格納型XSS(クロスサイトスクリプティング)がカスタマイザー経由で追加される可能性の問題を発見した Evan Ricafort に感謝します。
  • 認証されていない投稿を表示する方法を見つけて開示した J.D. Grimes に感謝します。
  • JavaScriptをスタイルタグに挿入する格納型XSSの作成方法を発見した Weston Ruter に感謝します。
  • Vary: Origin ヘッダーを介して JSON GETリクエストのキャッシュをポイズニングする方法にハイライトを当てた David Newman に感謝します。
  • URLの検証方法でサーバーサイドリクエストフォージェリを発見した Eugene Kolodenker に感謝します。
  • 管理画面のリファラーバリデーションに関連する問題を発見した WordPress セキュリティチームの Ben Bidner に感謝します。

脆弱性を非公開で開示してくれたすべての報告者のみなさんに感謝します。WordPress サイトが攻撃される前にそれらを修正する時間ができました。

詳細については Trac で変更箇所の全リストを参照するか、バージョン5.2.4のドキュメントページをご覧ください。

WordPress 5.2.4はショートサイクルなセキュリティリリースです。次のメジャーリリースはバージョン5.3になります。

WordPress 5.2.4をダウンロードするか、もしくはダッシュボード更新と進み、今すぐ更新するをクリックしてください。自動バックグラウンド更新をサポートしているサイトは、すでに自動更新がはじまっています。

上記のセキュリティ研究者に加えて、WordPress 5.2.4に貢献したすべての人に感謝します。

Aaron D. Campbell, darthhexx, David Binovec, Jonathan Desrosiers, Ian Dunn, Jeff Paul, Nick Daugherty, Konstantin Obenland, Peter Wilson, Sergey Biryukov, Stanimir Stoyanov, Garth Mortensen, vortfu, Weston Ruter, Jake Spurlock, そして Alex Concha