以下の内容は WordPress.org 公式ブログの記事「WordPress 6.0.3 Security Release」を日本語に訳したものです。
誤字脱字、誤訳などありましたらフォーラムまでお知らせください。
WordPress 6.0.3 が公開されました。
今回のリリースには数件のセキュリティ修正が含まれます。セキュリティに関するリリースですので速やかな更新が推奨されます。WordPress 3.7 以降の全メジャーバージョンに対してもアップデートが行われています。
WordPress 6.0.3 はショートサイクルのリリースです。次のメジャーリリースは2022年11月1日に予定されている 6.1 です。
自動バックグラウンド更新をサポートしているサイトでは更新プロセスが自動的に開始されます。
WordPress 6.0.3 を WordPress.org からダウンロードするか、WordPress ダッシュボードで 6.0.3 への更新を行ってください。
このリリースに関するより詳しい情報は HelpHub サイトをご確認ください。
このリリースに含まれるセキュリティ更新について
今回のリリースでは以下の脆弱性が修正されました。WordPress セキュリティチームは責任ある脆弱性報告を寄せられた皆さんに感謝を表明します。
- wp-mail.php (メールによる投稿) を利用した蓄積型 XSS – 米山 俊嗣 (三井物産セキュアディレクション株式会社) (JPCERT 経由)
wp_nonce_ays
におけるオープンリダイレクト – devrayn- wp-mail.php で送信者メールアドレスが露出される問題 – 米山 俊嗣 (三井物産セキュアディレクション株式会社) (JPCERT 経由)
- メディアライブラリ – SQLi を利用した反射型 XSS – Ben Bidner (WordPress セキュリティチーム)、Marc Montpas (Automattic)
- wp-trackback.php における CSRF – Simon Scannell
- カスタマイザーを利用した蓄積型 XSS – Alex Concha (WordPress セキュリティチーム)
- 変更 50790 で持ち込まれたユーザーインスタンス共有の復旧 – Alex Concha、Ben Bidner (WordPress セキュリティチーム)
- コメント編集を介した WordPress コアにおける蓄積型 XSS – 第三者セキュリティ監査報告ならびに Alex Concha (WordPress セキュリティチーム)
- REST API のターム/タグエンドポイントを介したデータ露出 – Than Taintor
- マルチパートメール内容の漏洩 – Thomas Kräftner
WP_Date_Query
の不適切なサニタイズ処理による SQL インジェクション – Michael Mazzolini- RSS ウィジェット: 蓄積型 XSS – 第三者セキュリティ監査報告
- 検索ブロックにおける蓄積型 XSS – Alex Concha (WordPress セキュリティチーム)
- アイキャッチ画像ブロック: XSS – 第三者セキュリティ監査報告
- RSS ブロック: 蓄積型 XSS – 第三者セキュリティ監査報告
- ウィジェットブロック XSS の修正 – 第三者セキュリティ監査報告
- 以上、敬称略。
貢献者のみなさんに感謝します
WordPress 6.0.3 は多数の貢献者による協調作業の賜物です。彼らの非同期的協働による多数の改善と修正がひとつの安定版リリースに結実したことはまさに WordPress コミュニティのパワーと能力を証明するものと言えるでしょう。
(日本語訳者による注記: 紙幅の都合により貢献者の一覧を割愛します。興味のある方はぜひ投稿原文をご参照ください。)