WordPress 6.0.3 セキュリティリリース

以下の内容は WordPress.org 公式ブログの記事「WordPress 6.0.3 Security Release」を日本語に訳したものです。

誤字脱字、誤訳などありましたらフォーラムまでお知らせください


WordPress 6.0.3 が公開されました。

今回のリリースには数件のセキュリティ修正が含まれます。セキュリティに関するリリースですので速やかな更新が推奨されます。WordPress 3.7 以降の全メジャーバージョンに対してもアップデートが行われています。

WordPress 6.0.3 はショートサイクルのリリースです。次のメジャーリリースは2022年11月1日に予定されている 6.1 です。

自動バックグラウンド更新をサポートしているサイトでは更新プロセスが自動的に開始されます。

WordPress 6.0.3 を WordPress.org からダウンロードするか、WordPress ダッシュボードで 6.0.3 への更新を行ってください。

このリリースに関するより詳しい情報は HelpHub サイトをご確認ください

このリリースに含まれるセキュリティ更新について

今回のリリースでは以下の脆弱性が修正されました。WordPress セキュリティチームは責任ある脆弱性報告を寄せられた皆さんに感謝を表明します。

  • wp-mail.php (メールによる投稿) を利用した蓄積型 XSS – 米山 俊嗣 (三井物産セキュアディレクション株式会社) (JPCERT 経由)
  • wp_nonce_ays におけるオープンリダイレクト – devrayn
  • wp-mail.php で送信者メールアドレスが露出される問題 – 米山 俊嗣 (三井物産セキュアディレクション株式会社) (JPCERT 経由)
  • メディアライブラリ – SQLi を利用した反射型 XSS – Ben Bidner (WordPress セキュリティチーム)、Marc Montpas (Automattic)
  • wp-trackback.php における CSRF – Simon Scannell
  • カスタマイザーを利用した蓄積型 XSS – Alex Concha (WordPress セキュリティチーム)
  • 変更 50790 で持ち込まれたユーザーインスタンス共有の復旧 – Alex Concha、Ben Bidner (WordPress セキュリティチーム)
  • コメント編集を介した WordPress コアにおける蓄積型 XSS – 第三者セキュリティ監査報告ならびに Alex Concha (WordPress セキュリティチーム)
  • REST API のターム/タグエンドポイントを介したデータ露出 – Than Taintor
  • マルチパートメール内容の漏洩 – Thomas Kräftner
  • WP_Date_Query の不適切なサニタイズ処理による SQL インジェクション – Michael Mazzolini
  • RSS ウィジェット: 蓄積型 XSS – 第三者セキュリティ監査報告
  • 検索ブロックにおける蓄積型 XSS – Alex Concha (WordPress セキュリティチーム)
  • アイキャッチ画像ブロック: XSS – 第三者セキュリティ監査報告
  • RSS ブロック: 蓄積型 XSS – 第三者セキュリティ監査報告
  • ウィジェットブロック XSS の修正 – 第三者セキュリティ監査報告
  • 以上、敬称略。

貢献者のみなさんに感謝します

WordPress 6.0.3 は多数の貢献者による協調作業の賜物です。彼らの非同期的協働による多数の改善と修正がひとつの安定版リリースに結実したことはまさに WordPress コミュニティのパワーと能力を証明するものと言えるでしょう。

(日本語訳者による注記: 紙幅の都合により貢献者の一覧を割愛します。興味のある方はぜひ投稿原文をご参照ください。)

WordPress バージョン 3.7 – 4.0 へのセキュリティアップデート提供の終了について

以下の内容は WordPress.org 公式ブログの記事「Dropping security updates for WordPress versions 3.7 through 4.0」を日本語に訳したものです。

誤字脱字、誤訳などありましたらフォーラムまでお知らせください


2022年12月1日をもって、WordPress セキュリティチームは WordPress バージョン 3.7 から 4.0 までに対するセキュリティアップデートの提供を終了します。

これらのバージョンの WordPress は8年以上前にリリースされたものであり、現在稼働している WordPress サイトの大多数ではそれより新しいバージョンが利用されています。本件があなたのサイトに影響を及ぼす可能性は極めて小さいと考えてよいでしょう。

最新版の WordPress を使っているか不確かな場合はサイトのダッシュボードにログインして確認しましょう。最新ではないバージョンの WordPress が使われているなら次のような通知が表示されます:

WordPress update notice: "WordPress 6.0.2 is available! Pleaes update now."

現在使用しているバージョンはダッシュボードの「概要」セクション下部に表示されます。

"At a Glance" section of the WordPress dashboard. The final line includes the exact version of WordPress the site is running.

サポート終了までのプロセスについてのさらに詳しい情報が Make WordPress Security ブログに掲載されています。

WordPress 5.9.2 セキュリティとメンテナンスのリリース

以下は、Jb Audras が書いた WordPress.org 公式ブログの記事「WordPress 5.9.2 Security & Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 5.9.2がリリースされました !

このセキュリティおよびメンテナンスリリースでは、3つのセキュリティ修正に加え、1つのバグ修正が含まれています。このリリースはセキュリティリリースですので、直ちにサイトを更新することをお勧めします。また、WordPress 3.7 以降のすべてのバージョンも更新されています。

WordPress 5.9.2 はセキュリティとメンテナンスのためのリリースです。次のメジャーリリースはバージョン6.0です。

WordPress 5.9.2 は WordPress.org からダウンロードするか、ダッシュボード > 更新 メニューで 今すぐ更新 をクリックして更新できます。

自動バックグラウンド更新がサポートされたサイトではすでに更新のプロセスが始まっているでしょう。

より詳しい情報は、Trac の変更点の完全なリストを参照するか、または 5.9.2 の HelpHub ドキュメンテーションページを確認してください。

感謝と称賛を !

5.9.2のリリースは Jb Audras がリードし、Jorge Costa がパッケージの更新、Sergey Biryukov がミッションコントロール、そして David Baumwald がバックポートコミットを担当しています。

上記のリリースメンバーに加え、WordPress 5.9.2 の実現に協力してくださったすべての方に感謝します:

Alan Jacob Mathew, Alex Concha, André, Anton Vlasenko, David Baumwald, ehtis, Jb Audras, Jorge Costa, Peter Wilson, Sergey Biryukov, Tonya Mork, そして ironprogrammer

ピアレビューをしてくれた @davidbaumwald@sergeybiryukov に感謝します。

WordPress 5.8.3 セキュリティリリース

以下は、Jonathan Desrosiers が書いた WordPress.org 公式ブログの記事「WordPress 5.8.3 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


今回のセキュリティリリースでは、4件のセキュリティ修正が行われています。セキュリティリリースですので、直ちにサイトを更新することをお勧めします。WordPress 3.7 以降のすべてのバージョンも更新されています。

WordPress 5.8.3 は短いサイクルでのセキュリティリリースです。次のメジャーリリースはバージョン 5.9 で、すでにリリース候補の段階に入っています。

WordPress 5.8.3 に更新するには、WordPress.org からダウンロード、または、「ダッシュボード」→「更新」にアクセスして「今すぐ更新」をクリックしてください。

自動バックグラウンド更新がサポートされているサイトでは、すでに更新プロセスが開始されています。

セキュリティ更新

4つのセキュリティの問題が、3.7 から 5.8 までの WordPress のバージョンに影響を与えています。まだ 5.8 に更新していない場合は、3.7 以降のすべての WordPress バージョンも、以下のセキュリティ問題の修正のために更新されます (特記事項除く)。

  • 投稿スラッグを通じた保存 XSS の問題を開示してくれた SonarSource の Karim El Ouerghemmi と Simon Scannell に感謝します。
  • マルチサイトインストールにおけるオブジェクトインジェクションに関する問題を報告してくれた SonarSource の Simon Scannell に感謝します。
  • Trend Micro Zero Day Initiative と協力して WP_Query の SQL インジェクション脆弱性を報告してくれた GiaoHangTietKiem JSC の ngocnb と khuyenn に感謝します。
  • WP_Meta_Query に SQL インジェクションの脆弱性があることを報告してくれた WordPress セキュリティチームの Ben Bidner に感謝します (バージョン 4.1~5.8 のみ対象)。

非公開で脆弱性情報を開示してくださった報告者の皆様に感謝いたします。これにより、セキュリティチームは、WordPress サイトが攻撃される前に脆弱性を修正することができました。これらの修正を WordPress に実装してくれた WordPress セキュリティチームのメンバーにも感謝します。

詳細については、バージョン 5.8.3 の HelpHub ドキュメントページをご覧ください。

(訳注: 貢献者セクションは、原文を参照してください。)

WordPress 5.8.2 セキュリティとメンテナンスのリリース

以下は、Jonathan Desrosiers が書いた WordPress.org 公式ブログの記事「WordPress 5.8.2 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 5.8.2 が公開されました!

今回のセキュリティとメンテナンスのリリースでは、1件のセキュリティ修正に加え、2件のバグ修正が行われています。セキュリティリリースですので、直ちにサイトを更新することをお勧めします。WordPress 5.2 以降のすべてのバージョンも更新されています。

WordPress 5.8.2 は、狭い範囲に焦点を当てたセキュリティとメンテナンスのリリースです。次のメジャーバージョンリリースは 5.9 となります。

WordPress 5.8.2 をダウンロードするには、WordPress.org からダウンロード、または、「ダッシュボード」→「更新」にアクセスして「今すぐ更新」をクリックしてください。自動バックグラウンド更新がサポートされているサイトでは、すでに更新プロセスが開始されています。

詳細については、Trac の変更点全リストを参照するか、バージョン 5.8.2 の HelpHub ドキュメントページをご覧ください。

(訳注: 貢献者セクションは、原文を参照してください。)

WordPress 5.8.1 セキュリティとメンテナンスのリリース

以下は、Jonathan Desrosiers が書いた WordPress.org 公式ブログの記事「WordPress 5.8.1 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 5.8.1 が公開されました!

今回のセキュリティとメンテナンスのリリースでは、3件のセキュリティ修正に加え、60件のバグ修正が行われています。セキュリティリリースですので、直ちにサイトを更新することをお勧めします。WordPress 5.4 以降のすべてのバージョンも更新されています。

WordPress 5.8.1 は短いサイクルでのセキュリティとメンテナンスのリリースです。次のメジャーバージョンリリースは 5.9 となります。

WordPress 5.8.1 をダウンロードするには、WordPress.org からダウンロード、または、「ダッシュボード」→「更新」にアクセスして「今すぐ更新」をクリックしてください。

自動バックグラウンド更新がサポートされたサイトでは、すでに更新プロセスが開始されています。

セキュリティ更新

3つのセキュリティの問題が、5.4 から 5.8 までの WordPress のバージョンに影響を与えています。まだ 5.8 に更新していない場合は、5.4 以降のすべての WordPress バージョンも、以下のセキュリティ問題の修正のために更新されます。

  • WordPress セキュリティチームのメンバー @mdawaffe による REST API におけるデータ漏洩の脆弱性修正に感謝します。
  • Securitum の Michał Bentkowski によるブロックエディターの XSS 脆弱性の報告に感謝します。
  • Lodash ライブラリが各ブランチでバージョン 4.17.21 に更新され、アップストリームのセキュリティ修正が組み込まれました。

これらの問題に加えて、WordPress 5.8 ベータテスト期間中に脆弱性を報告していただき、リリース前に修正可能にしてくださった以下の方々に感謝します。

  • Evan Ricafort による 5.8 ベータ期間中に発見されたブロックエディターの XSS 脆弱性の報告に感謝します。
  • Steve Henty によるブロックエディターでの権限昇格問題の報告に感謝します。

非公開で脆弱性情報を開示してくださった報告者の皆様に感謝いたします。これにより、WordPress セキュリティチームは、WordPress サイトが攻撃される前に脆弱性を修正することができました。

詳細については、Trac の変更点全リストを参照するか、バージョン 5.8.1 の HelpHub ドキュメントページをご覧ください。

(訳注: 貢献者セクションは、原文を参照してください。)

WordPress 5.7.2 セキュリティリリース

以下は、Peter Wilson が書いた WordPress.org 公式ブログの記事「WordPress 5.7.2 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 5.7.2 がリリースされました。

これは1件の修正を含んだセキュリティリリースです。セキュリティリリースですのであなたが管理するサイトを今すぐ更新してください。WordPress 3.7 以降の全メジャーバージョンに対しても同様のセキュリティリリースが出されています。

WordPress 5.7.2 はショートサイクルのセキュリティリリースです。次のメジャーリリースはバージョン 5.8 です。

WordPress 5.7.2 は WordPress.org からダウンロードするか、ダッシュボード > 更新 メニューで 今すぐ更新 をクリックして更新できます。

自動バックグラウンド更新がサポートされたサイトではすでに更新のプロセスが始まっているでしょう。

セキュリティ更新

バージョン 3.7 から 5.7 にかけての全バージョンの WordPress に影響するセキュリティ問題が確認されました。

WordPress セキュリティチームにより WordPress にこれらの修正が実装されました。

より詳しい情報は 5.7.2 の HelpHub ドキュメンテーションページを確認してください。

感謝と称賛を

(翻訳者より: 日本語版では貢献者全員の名前を載せることができませんので、オリジナルの英語版リリース告知をぜひ参照してください。)

WordPress 5.7.1 セキュリティとメンテナンスのリリース

以下は、Peter Wilson が書いた WordPress.org 公式ブログの記事「WordPress 5.7.1 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 5.7.1 が利用可能になりました。

これは2点のセキュリティ修正と26点のバグ修正を含んだセキュリティとメンテナンスのリリースです。セキュリティ修正を含むものですので、今すぐサイトを更新することを勧めます。WordPress 4.7 以降の全メジャーバージョンの更新も併せて行われています。

WordPress 5.7.1 は短いサイクルでのセキュリティとメンテナンスのリリースです。次のメジャーバージョンリリースは 5.8 になります。

WordPress 5.7.1 は WordPress.org からダウンロードするか、ダッシュボード > 更新 メニューで 今すぐ更新 をクリックして更新できます。

自動バックグラウンド更新がサポートされたサイトではすでに更新のプロセスが始まっているでしょう。

セキュリティ更新

バージョン 4.7 から 5.7 までのすべての WordPress に影響する2点のセキュリティ問題が修正されました:

  • SonarSource により報告された、PHP 8 環境で発生するメディアライブラリの XXE 脆弱性。
  • Mikael Korpela により報告された、REST API のデータ露出脆弱性。

非公開での脆弱性情報提供にご理解くださった報告者の皆さんに感謝します。それによってセキュリティチームは時間を稼ぐことができ、実際に WordPress サイトが攻撃を受けるより前に脆弱性を修正することができました。

これらの問題に関して、Adam Zielinski、Pascal Birchler、Peter Wilson、Juliette Reinders Folmer、Alex Concha、Ehtisham Siddiqui、Timothy Jacobs、そして WordPress セキュリティチームの多大な貢献がありました。

より詳しい情報は、Trac 上の変更点の完全なリストを参照、または 5.7.1 の HelpHub ドキュメンテーションページを確認してください。

感謝と称賛を

(翻訳者より: 日本語版では貢献者全員の名前を載せることができませんので、オリジナルの英語版リリース告知をぜひ参照してください。)

WordPress 5.4.2 セキュリティとメンテナンスのリリース

以下は、Jake Spurlock が書いた WordPress.org 公式ブログの記事「WordPress 5.4.2 Security and Maintenance Release 」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 5.4.2がリリースされました!

このセキュリティとメンテナンスのリリースには、23の修正と機能強化が含まれています。さらに、いくつかのセキュリティ修正が追加されていますので、詳しくは以下のリストを参照してください。

これらのバグは WordPress バージョン 5.4.1 とそれ以前のバージョンに影響を与えます。バージョン 5.4.2 ではそれらが修正されているので、アップグレードしてください。

まだ 5.4 にアップデートしていない場合は、5.3 とそれ以前のバージョンでもバグが修正されたアップデートがあります。

セキュリティアップデート

WordPress のバージョン 5.4 やそれ以前のバージョンでは、以下のバグの影響を受けており、バージョン 5.4.2 で修正されています。まだ 5.4 にアップデートしていない場合は、セキュリティ問題を修正した 5.3 やそれ以前のバージョンもあります。

  • Sam Thomas (jazzy2fives) は、権限の低い認証済みユーザーがブロックエディタの投稿に JavaScript を追加できるという XSS の問題を発見してくれました。
  • アップロード権限を持つ認証済みユーザがメディアファイルに JavaScript を追加できる XSS 問題を発見した Luigi – (gubello.me) に感謝します。
  • wp_validate_redirect() のオープンリダイレクトの問題を発見してくれた WordPress セキュリティチームの Ben Bidner に感謝します。
  • テーマのアップロードで認証済み XSS の問題を発見した Nrimo Ing Pandum に感謝します。
  • set-screen-option がプラグインによって悪用されて権限昇格されうる問題を発見してくれた Simon Scannell of RIPS Technologies に感謝します。
  • パスワードで保護された投稿やページのコメントが特定の条件下で表示されうる問題を発見した Carolina Nymark に感謝します。

脆弱性を非公開で報告してくれた報告者の皆さんに感謝します。これにより、セキュリティチームは WordPress サイトが攻撃される前に脆弱性を修正する時間を確保することができました。

また、バージョン5.1、5.2、5.3にもメンテナンスアップデートが1件反映されました。詳細は関連する開発者ノートを参照してください。

Trac で変更点の全リストを閲覧することができます。

詳細については、Trac で変更点の全リストを閲覧するか、バージョン 5.4.2 のドキュメントページをチェックしてください。

WordPress 5.4.2 はショートサイクルメンテナンスリリースの一つです。次のメジャーリリースはバージョン 5.5になります。

WordPress 5.4.2 は、このページの上部にあるボタンからダウンロードするか、ダッシュボード更新を開いて、今すぐ更新をクリックしてください。

バックグラウンドの自動更新に対応しているサイトであれば、すでに更新作業が開始されています。

感謝と敬意を!

上記のセキュリティ研究者の方々に加え、WordPress 5.4.2の実現にご協力いただいた皆様、ありがとうございました。

Andrea Fercia, argentite, M Asif Rahman, Jb Audras, Ayesh Karunaratne, bdcstr, Delowar Hossain, Rob Migchels, donmhico, Ehtisham Siddiqui, Emilie LEBRUN, finomeno, garethgillman, Giorgio25b, Gabriel Maldonado, Hector F, Ian Belanger, Aaron Jorbin, Mathieu Viet, Javier Casares, Joe McGill, jonkolbert, Jono Alderson, Joy, Tammie Lister, Kjell Reigstad, KT, markusthiel, Mayank Majeji, Mel Choyce-Dwan, mislavjuric, Mukesh Panchal, Nikhil Bhansi, oakesjosh, Dominik Schilling, Arslan Ahmed, Peter Wilson, Carolina Nymark, Stephen Bernhardt, Sam Fullalove, Alain Schlesser, Sergey Biryukov, skarabeq, Daniel Richards, Toni Viemerö, suzylah, Timothy Jacobs, TeBenachi, Jake Spurlock そして yuhin

WordPress 5.4.1

以下は、Jake Spurlock が書いた WordPress.org 公式ブログの記事「WordPress 5.4.1」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 5.4.1 がご利用いただけるようになりました。

このセキュリティとメンテナンスのリリースには、7つのセキュリティ修正に加え、17のバグ修正が含まれています。セキュリティリリースですので、すぐにサイトを更新することをお勧めします。WordPress 3.7 以降のすべてのバージョンも更新されています。

WordPress 5.4.1 は短期サイクルのセキュリティとメンテナンスのリリースです。次のメジャーリリースはバージョン 5.5 となります。

WordPress 5.4.1 を入手するには WordPress.org からダウンロード、または、「ダッシュボード」→「更新」から「今すぐ更新」をクリックします。

自動バックグラウンド更新に対応しているサイトであれば、すでに更新プロセスが開始されています。

セキュリティ更新

7つのセキュリティの問題が WordPress 5.4 とそれ以前のバージョンに影響を与えています。5.4 への更新をまだ行っていない場合、3.7 以降のすべての WordPress バージョンでも以下のセキュリティ問題が修正されています。

  • パスワードリセットトークンが適切に無効化されない問題(Muaz Bin Abdus SattarJannes の個別報告)
  • 特定のプライベートな投稿が認証されていない状態で閲覧できてしまう問題(ka1n4t の報告)
  • カスタマイザーの XSS 問題(Evan Ricafort の報告)
  • 検索ブロックの XSS 問題(WordPress セキュリティチーム Ben Bidner の報告)
  • wp-object-cache の XSS 問題(WordPress VIP / WordPress セキュリティチーム Nick Daugherty の報告)
  • ファイルアップロードの XSS 問題(Ronnie Goodrich(Kahoots)と Jason Medeiros の個別報告)
  • カスタマイザーに保存された XSS 脆弱性(Weston Ruter により修正)
  • さらに WordPress 5.4 RC1 と RC2 のブロックエディターの認証済み XSS 問題(Nguyen The Duc(ducnt)の報告)が 5.4 RC5 で修正されました。WordPress をより安全にするために行われたすべての作業に対しクレジットと謝意を示したいと思います。

非公開で脆弱性情報を開示してくださった報告者の皆様、ありがとうございました。これにより、セキュリティチームは WordPress サイトが攻撃される前に脆弱性を修正する時間を得ることができました。

詳細については、Trac で変更点の全リストを参照するか、バージョン 5.4.1 の HelpHub ページを確認してください。

上記セキュリティ研究者の方々に加え、WordPress 5.4.1 にご協力いただいた皆様、ありがとうございました。

(訳注: 貢献者一覧は元記事を参照してください。)