WordPress 5.2.3セキュリティとメンテナンスのリリース

以下は、Jake Spurlock が書いた WordPress.org 公式ブログの記事、「WordPress 5.2.3 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 5.2.3が利用可能になりました!

このセキュリティとメンテナンスのリリースでは29件の修正と強化を施しました。さらに、多数のセキュリティ修正が加わっていますので、下の一覧をご覧ください。

これらのバグは WordPress 5.2.2以下に影響を与えます。バージョン5.2.3ではこれらを修正していますので、アップグレードをしてください。

まだ5.2にアップデートしていない場合は、5.0とそれ以前のバージョンにもアップデートされたバージョンがあります。

セキュリティ関連のアップデート

  • 2件の問題を発見、開示してくれた Simon Scannell of RIPS Technologies に感謝します。1つ目は、投稿者権限での投稿プレビューで見つかったクロスサイトスクリプティング (XSS) 脆弱性です。2つ目は保存されたコメントでのクロスサイトスクリプティング脆弱性です。
  • オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題を開示してくれたに Tim Coen 感謝します。
  • メディアアップロード中の反射型クロスサイトスクリプティングについて開示してくれたに Anshul Jain 感謝します。
  • ショートコードに関するクロスサイトスクリプティング (XSS) の脆弱性を開示してくれた  Zhouyuan Yang of Fortinet’s FortiGuard Labs に感謝します
  • ダッシュボードで起こりうる反射型クロスサイトスクリプティングのケースを見つけて開示してくれたコアセキュリティチームのIan Dunn に感謝します。
  • クロスサイトスクリプティング (XSS) 攻撃を招きかねない URL のサニタイズに関する問題を開示してくれた NCC グループからの Soroush Dalili (@irsdl) に感謝します。
  • 上記の変更に加え、WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。

すべての変更箇所は Trac で閲覧可能です。

詳細な情報は Trac 上で変更箇所一覧を閲覧するか、バージョン5.2.3ドキュメントページを参照してください。

WordPress 5.2.3はショートサイクルメンテナンスリリースです。次のメジャーリリースはバージョン5.3です。

WordPress 5.2.3はこのページの上の方にあるボタンからダウンロード可能です。もしくはダッシュボード更新と進み、今すぐ更新するをクリックしてください。

自動バックグラウンド更新をサポートしているサイトは、すでに自動更新がはじまっています。

感謝と称賛!

このリリースは62名ものコントリビューターとともにリリースされました。このリリースに協力していただいた皆さんに感謝します!

Adam SilversteinAlex ConchaAlex GollerAndrea FerciaAndrew DuthieAndrew OzzAndy Fragen, Ashish ShuklaAslam Shekhbackermann1978Catalin DogaruChetan PrajapatiChris ApreaChristoph Herrdan@micamedia.comDaniel LlewellyndonmhicoElla van DurpeepiquerasFencer04flaviozavanGarrett HyderGary Pendergastgqevu6bsizHardik ThakkarIan BelangerIan DunnJake SpurlockJb AudrasJeffrey PauljikamensJohn BlackbournJonathan Desrosiers, Jorge Costa, karlgrovesKjell ReigstadlaurelfulfordMaje Media LLCMartin SpatovaliyskiMary BaumMonika RaoMukesh Panchalnayana123Ned ZimmermanNick Daugherty, Nilambar SharmanmenescardiPaul Vincent BeigangPedro MendonçaPeter WilsonSergey BiryukovSergey PredvoditelevSharaz ShahidStanimir StoyanovStefano MinoiaTammie ListertellthemachinestmatsuurVaishali PanchalvortfuWill West, そして yarnboy.

WordPress 5.0.1 セキュリティリリース

以下は、Ian Dunn が書いた WordPress.org 公式ブログの記事、「WordPress 5.0.1 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 5.0.1 がご利用いただけるようになりました。これは WordPress 3.7 以降のすべてのバージョンに対するセキュリティリリースとなります。今すぐにサイトの更新を行うことを強くおすすめします。

プラグイン作者は、後方互換性の情報を得るために5.0.1 開発者ノートを読むことをおすすめします。

バージョン 5.0 以前の WordPress はバージョン 5.0.1 で修正された、以下のバグの影響を受けます。 5.0 にまだアップデートしていないユーザーのために、WordPress 4.9 以前のリリースの更新版もご利用いただけます。

  • Karim El Ouerghemmi は、投稿者が権限のないファイルを削除できるよう、メタデータを変更できてしまうことを発見しました。
  •  RIPS Technologies の Simon Scannell は、投稿者が特別に細工された入力を使うことで、権限のない投稿タイプの投稿を作成できてしまうことを発見しました。
  • Sam Thomas は、寄稿者が PHP オブジェクトインジェクションをもたらす方法でメタデータを細工できてしまうことを発見しました。
  • Tim Coen は、クロスサイトスクリプティングの脆弱性につながり得る、より高い権限を持つユーザーからの新規コメントを寄稿者が編集できてしまうことを発見しました。
  • Tim Coen は、特別に細工された URL の入力が状況次第でクロスサイトスクリプティングの脆弱性につながり得ることも発見しました。WordPress 自体は影響を受けませんでしたが、プラグインは場合によっては影響を受ける可能性がありました。
  • Team Yoast は、メールアドレスや、稀なケースではデフォルトの生成パスワードの漏洩につながり得る、ユーザー有効化画面が珍しい設定で検索エンジンにインデックスされてしまうことを発見しました。
  • Tim Coen と Slavco は、クロスサイトスクリプティングの脆弱性につながり得る、Apache でホストされたサイトの投稿者が、MIME 検証をバイパスする、特別に細工されたファイルをアップロードできてしまうことを発見しました。

WordPress のサイトが攻撃される前に脆弱性を修正する時間を与えてくれた、非公開で脆弱性を公開してくださった、すべての報告者に感謝いたします。

WordPress 5.0.1 をダウンロードするか、思い切ってダッシュボード → 更新と 進み、今すぐ更新するをクリックしてください。自動バックグラウンド更新をサポートしているサイトは、すでに自動更新がはじまっています。

上述したセキュリティ研究者に加えて、5.0.1 に貢献した皆さんに感謝いたします。

Alex ShielsAlex ConchaAnton TimmermansAndrew OzzAaron CampbellAndrea MiddletonBen BidnerBarry AbrahamsonChris ChristoffDavid NewmanDemitrious KellyDion HulseHannah NotessGary PendergastHerre GroenIan DunnJeremy FeltJoe McGillJohn James JacobyJonathan DesrosiersJosepha HadenJoost de ValkMo JangdaNick DaughertyPeter WilsonPascal BirchlerSergey BiryukovValentyn Pylypchuk

WordPress 4.9.7 セキュリティ・メンテナンスリリース

以下は、Aaron D. Campbell が書いた WordPress.org 公式ブログの記事、WordPress 4.9.7 Security and Maintenance Release を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 4.9.7 がご利用いただけるようになりました。これは WordPress 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンスリリースとなります。今すぐにサイトの更新を行うことを強くおすすめします。

バージョン 4.9.6 以前の WordPress は、特定の権限を持つユーザーが uploads ディレクトリ外のファイルを削除できてしまう可能性のあるメディアの問題の影響を受けます。

問題を報告してくださった Slavco と 関連する問題の報告をしてくださった Matt Barry に感謝いたします。

WordPress 4.9.7 では、その他17個のバグが修正されました。特筆すべきは、下記となります。

  • タクソノミー: タームクエリーのキャッシュ処理の改善。
  • 投稿、投稿タイプ: ログアウト時に投稿パスワード Cookie をクリア。
  • ウィジェット: ウィジェット管理画面のサイドバーの説明にベーシックな HTML タグを許可。
  • コミュニティイベントダッシュボード: 複数のミートアップが行われている場合でも、常に最寄りの WordCamp を表示。
  • プライバシー: 管理者のコンテキスト外でリライトルールをフラッシュした時に、デフォルトのプライバシーポリシーの内容が致命的なエラーを引き起こさないことを確認。

WordPress 4.9.7 (日本語版) をダウンロード、または、「ダッシュボード」 → 「更新」へ行き「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートするサイトでは、すでに自動更新が始まっています。

なお、以前に予定されていた 4.9.7 は、4.9.8 となり、昨日公開されたリリーススケジュールに従ってリリースされる予定です。

WordPress 4.9.7 に貢献してくださったすべての方に感謝いたします:

1naveengiri, Aaron Jorbin, abdullahramzan, alejandroxlopez, Andrew Ozz, Arun, Birgir Erlendsson (birgire), BjornW, Boone Gorges, Brandon Kraft, Chetan Prajapati, David Herrera, Felix Arntz, Gareth, Ian Dunn, ibelanger, John Blackbourn, Jonathan Desrosiers, Joy, khaihong, lbenicio, Leander Iversen, mermel, metalandcoffee, Migrated to @jeffpaul, palmiak, Sergey Biryukov, skoldin, Subrata Sarkar, Towhidul Islam, warmlaundry, and YuriV.

WordPress 4.9.5 セキュリティ・メンテナンスリリース

以下は、Aaron D. Campbell が書いた WordPress.org 公式ブログの記事、「WordPress 4.9.5 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 4.9.5 がご利用いただけるようになりました。これは WordPress 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンスリリースとなります。今すぐにサイトの更新を行うことを強くおすすめします。

バージョン 4.9.4 以前の WordPress は、3つのセキュリティ問題の影響を受けます。コアチームの継続的なセキュリティ強化の取り組みにより、4.9.5 では、次の修正が実装されました。

  1. デフォルトで localhost を同じホストとして扱わない。
  2. SSL が強制されている場合に、ログインページのリダイレクトに安全なリダイレクトを使用する。
  3. ジェネレータータグでバージョン文字列が正しくエスケープされていることを確認する。

これらの問題について、連携したセキュリティ情報開示を実践してくださった報告者、WordPress セキュリティチームの xknownNitin Venkatesh(nitstorm)、WordPress セキュリティチームの Garth Mortensen に感謝いたします。

WordPress 4.9.5 では、その他25個のバグが修正されました。特筆すべきは、以下となります。

  • キャプションショートコードで以前のスタイルが復元されました。
  • タッチスクリーンデバイスでクロッピングがサポートされるようになりました。
  • エラーメッセージなどの文字列がより明解となるよう更新されました。
  • アップロード中の添付ファイルのプレースホルダーの位置が修正されました。
  • REST API JavaScript クライアントのカスタムノンス機能が、コードベース全体で一貫したものとなりました。
  • PHP 7.2 との互換性が向上しました。

4.9.5 で修正されたすべての問題の詳細情報を知りたい場合は、こちらの記事をご覧ください

WordPress 4.9.5 (日本語版) をダウンロード、または、「ダッシュボード」 → 「更新」へ行き「今すぐ更新」をクリックしてください。自動バックグラウンド更新をサポートするサイトでは、すでに自動更新が始まっています。

WordPress 4.9.5 に貢献してくださったすべての方に感謝いたします:

1265578519, Aaron Jorbin, Adam Silverstein, Alain Schlesser, alexgso, Andrea Fercia, andrei0x309, antipole, Anwer AR, Birgir Erlendsson (birgire), Blair jersyer, Brooke., Chetan Prajapati, codegrau, conner_bw, David A. Kennedy, designsimply, Dion Hulse, Dominik Schilling (ocean90), ElectricFeet, ericmeyer, FPCSJames, Garrett Hyder, Gary Pendergast, Gennady Kovshenin, Henry Wright, Jb Audras, Jeffrey Paul, Jip Moors, Joe McGill, Joen Asmussen, John Blackbourn, johnpgreen, Junaid Ahmed, kristastevens, Konstantin Obenland, Laken Hafner, Lance Willett, leemon, Mel Choyce, Mike Schroder, mrmadhat, nandorsky, Nidhi Jain, Pascal Birchler, qcmiao, Rachel Baker, Rachel Peter, RavanH, Samuel Wood (Otto), Sebastien SERRE, Sergey Biryukov, Shital Marakana, Stephen Edgar, Tammie Lister, Thomas Vitale, Will Kwon, and Yahil Madakiya.

WordPress 4.9.2 セキュリティ・メンテナンスリリース

以下は、Ian Dunn が書いた WordPress.org 公式ブログの記事、「WordPress 4.9.2 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 4.9.2 が公開されました。これは WordPress 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンスリリースとなります。今すぐにサイトの更新を行うことを強くおすすめします。

WordPress に含まれる MediaElement ライブラリの Flash フォールバックファイル内で XSS 脆弱性が発見されました。 Flash のファイルは、ほとんどのケースで不要となったため、WordPress から削除されました。

MediaElement は、バグ修正を含む新しいバージョンをリリースしました。こちらの修正ファイルを含む WordPress プラグインが、プラグインリポジトリから入手できます。

これらの問題について、責任あるセキュリティ情報開示を実践してくださった報告者、Enguerran GillierWidiz に感謝いたします。

WordPress 4.9.2では、その他の21個のバグが修正されました。特筆すべきは次となります。

  • Firefox で投稿が保存できない JavaScript のエラーが修正されました。
  • get_category_link()category_description() で以前の taxonomy にとらわれない挙動が復元されました。
  • テーマの切り替え時に、対応するサイドバーがない場合でも、以前のウィジェット配置の復元を試みるようになりました。

4.9.2 で修正されたすべての問題の詳細情報については、Codex をご覧ください。

WordPress 4.9.2 (日本語版) をダウンロード、または、「ダッシュボード」 → 「更新」へ行き「今すぐ更新」をクリックしてください。自動バックグラウンド更新が有効なサイトでは、すでに WordPress 4.9.2 への自動更新が始まっています。

WordPress 4.9.2 に貢献してくださったすべての方に感謝いたします:

0x6f0, Aaron Jorbin, Andrea Fercia, Andrew Duthie, Andrew Ozz, Blobfolio, Boone Gorges, Caleb Burks, Carolina Nymark, chasewg, Chetan Prajapati, Dion Hulse, Hardik Amipara, ionvv, Jason Caldwell, Jeffrey Paul, Jeremy Felt, Joe McGill, johnschulz, Juhi Patel, Konstantin Obenland, Mark Jaquith, Nilambar Sharma, Peter Wilson, Rachel Baker, Rinku Y, Sergey Biryukov, and Weston Ruter.

WordPress 4.9.1 セキュリティ・メンテナンスリリース

以下は、John Blackbourn が書いた WordPress.org 公式ブログの記事、「WordPress 4.9.1 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 4.9.1 が公開されました。これは WordPress 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンスリリースとなります。今すぐにサイトの更新を行うことを強くおすすめします。

WordPress 4.9 とそれ以前のバージョンは、マルチベクター攻撃の対象となり得る4つのセキュリティ問題の影響を受けます。コアチームの継続的なセキュリティ強化の取り組みにより、4.9.1 には、次の修正が行われました。

  1. 特定の部分文字列の代わりに、正しく生成されたハッシュを newbloguser キーに使用。
  2. html 要素の言語属性にエスケープ処理を追加。
  3. RSS と Atom フィードで enclosure の属性が正しくエスケープされていることを確認。
  4. unfiltered_html 権限を持たないユーザーの JavaScript ファイルのアップロード機能を削除。

これらの問題について、責任あるセキュリティ情報開示を実践してくださった報告者、Rahul Pratap Singh と John Blackbourn に感謝いたします。

WordPress 4.9.1 では、その他に11個のバグが修正されました。特筆すべきは以下です。

  • テーマテンプレートファイルのキャッシュに関する問題。
  • MediaElement の JavaScript エラーが特定言語のユーザーのファイルアップロードを阻害する問題。
  • Windows ベースのサーバーでテーマとプラグインファイルが編集できない問題。

こちらの記事に 4.9.1 で修正されたすべての問題についての詳細情報が書かれています

WordPress 4.9.1 (日本語版) をダウンロード、または「ダッシュボード」 → 「更新」へ行き「今すぐ更新」をクリックしてください。自動バックグラウンド更新が有効なサイトでは、すでに WordPress 4.9.1 への自動更新が始まっています。

WordPress 4.9.1 に貢献してくださったすべての方々に感謝いたします:

Alain Schlesser, Andrea Fercia, Angelika Reisiger, Blobfolio, bobbingwide, Chetan Prajapati, Dion Hulse, Dominik Schilling (ocean90), edo888, Erich Munz, Felix Arntz, Florian TIAR, Gary Pendergast, Igor Benic, Jeff Farthing, Jeffrey Paul, jeremyescott, Joe McGill, John Blackbourn, johnpgreen, Kelly Dwan, lenasterg, Marius L. J., Mel Choyce, Mário Valney, natacado, odyssey, precies, Saša, Sergey Biryukov, and Weston Ruter.

WordPress 4.8.3 セキュリティリリース

以下は、Gary Pendergast が書いた WordPress.org 公式ブログの記事、「WordPress 4.8.3 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 4.8.3 が公開されました。これはセキュリティリリースです。過去のバージョンを使用しているすべてのサイトに対する即時のアップデートが強く推奨されます。

WordPress 4.8.2 以前のバージョンにおいて、$wpdb->prepare() が本来想定しない安全でないクエリーを出力する問題が確認され、この問題が SQL インジェクション (SQLi) に利用される可能性があります。WordPress 本体に関してはこの問題に対する直接的な脆弱性は認められていませんが、プラグインやテーマに不備が生じて脆弱性をもたらす危険性があり得るため、対応を強化しました。この問題は Anthony Ferrara により報告されました。

今回のリリースには esc_sql() 関数の挙動の変更が含まれます。大半の開発者はこの変更の影響を受けないものと思いますが、より詳細は開発者ノートを確認してください。

適切な情報開示に則ってこの問題の報告を行ってくださった皆さんに感謝します。

WordPress 4.8.3 (日本語版)をダウンロード、または [ダッシュボード] → [更新] メニューから「今すぐ更新」をクリック。自動バックグラウンド更新が有効なサイトではすでに WordPress 4.8.3 へのアップデートが始まっているでしょう。

WordPress 4.7.5 セキュリティ・メンテナンスリリース

以下は、Pascal Birchler が書いた WordPress.org 公式ブログの記事、「WordPress 4.7.5 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 4.7.5 が公開されました。これは過去のすべてのバージョンに対するセキュリティリリースですので、今すぐサイトの更新を行うことを強く勧めます。

WordPress 4.7.4 とそれ以前のバージョンは、以下の6件のセキュリティ問題の影響を受けます:

  1. HTTP クラスにおける不十分なリダイレクト妥当性確認。Ronni Skansing により報告された。
  2. XML-RPC API における投稿メタデータ値の不適切な操作。Sam Thomas により報告された。
  3. XML-RPC API 投稿メタデータ操作における権限確認の不足。WordPress セキュリティチームの Ben Bidner により報告された。
  4. ファイルシステム認証情報ダイアログに見つかったクロスサイトリクエストフォージェリ (CRSF) 脆弱性。Yorick Koster により報告された。
  5. 非常に大きいファイルのアップロードを試みた際に見られるクロスサイトスクリプティング (XSS) 脆弱性。Ronni Skansing により報告された。
  6. Customizer 関連のクロスサイトスクリプティング (XSS) 脆弱性。WordPress セキュリティチームの Weston Ruter により報告された。

適切なプロセスに則った報告に感謝します。

これらのセキュリティ関連の問題に加えて、WordPress 4.7.5 では3件のメンテナンス修正を行なっています。詳しくはリリースノート変更リストを参照してください。

WordPress 4.7.5 への更新は ダッシュボード > 更新 メニューから。自動バックグラウンド更新をサポートしているサイトではすでに更新のプロセスが進んでいるはずです。

4.7.5 に貢献されたすべての方々に感謝します。

WordPress が HackerOne での脆弱性報告受け付けを開始しました

以下は、Aaron D. Campbell が書いた WordPress.org 公式ブログの記事、「WordPress Now on HackerOne」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress は過去13年間で非常に成長しました。現在、Web 上のトップ1000万サイト中28%が WordPress で動いています。この成長の過程で、各チームはツールやプロセスを改善するために継続的に努力してきました。本日 WordPress セキュリティチームは、WordPress が公式に HackerOne 上に掲載されたことをお知らせできることを嬉しく思います。

HackerOne はセキュリティ研究者が安全かつ責任を持って脆弱性をチームに報告するためのプラットフォームです。報告者とのコミュニケーションの質や一貫性を向上させるツールを提供し、よく報告される問題への対応に費やす時間を削減します。これにより、私たちのチームは WordPress のセキュリティ改善のためにより多くの時間を費やすことができるようになります。

セキュリティチームはかなりの期間このプロジェクトを進めてきました。 Nikolay Bachiyski は1年以上前に専用チームを立ち上げ、私たちは手順やプロセスを工夫しながら非公開プログラムとして運用していました。ついに公開できることに、ワクワクしています。

WordPress HackerOneプログラムの発表とともに、バグ・バウンティ (賞金) も新たに導入しました。バグ・バウンティは、問題を発見し、私たちの製品やインフラを守るのを助けてくれる報告者に対し報酬を与えます。すでに7人の報告者に3,700米ドル (約42万円) 以上の賞金を授与しました。WordPress プロジェクトに代わって賞金を支払ってくれた、Automattic に感謝しています。

プログラムと賞金は、WordPress、BuddyPress、bbPress、GlotPress、WP-CLI、WordPress.org、bbPress.org、WordCamp.org、BuddyPress.org、GlotPress.org を含むすべてのサイトをカバーしています。

WordPress 4.7.3 セキュリティ・メンテナンスリリース

以下は、James Nylen が書いた WordPress.org 公式ブログの記事、「WordPress 4.7.3 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 4.7.3 が公開されました。これは過去の全バージョンのためのセキュリティリリースであり、即時のサイト更新を強く勧告するものです。

WordPress 4.7.2 およびその他過去のバージョンに、次の6件のセキュリティ上の問題が存在します:

  1. メディアファイルのメタデータを介したクロスサイトスクリプティング (XSS) 脆弱性。Chris Andrè DaleYorick Koster、Simon P. Briggs による報告。
  2. 制御文字を利用したリダイレクト URL 検証回避の可能性。Daniel Chatfield による報告。
  3. プラグイン削除を行う機能を利用して管理者による意図しないファイル削除が実行される可能性。xuliang による報告。
  4. YouTube 動画埋め込み URL を介したクロスサイトスクリプティング (XSS) 脆弱性。Daniel Cid による報告。
  5. タクソノミー語句名に関連したクロスサイトスクリプティング (XSS) 脆弱性。Delta による報告。
  6. Press This におけるクロスサイトリクエストフォージェリ (CSRF) によりサーバーリソースの過剰利用が引き起こされる問題。Sipke Mellema による報告。

適切なプロセスに則った報告に感謝します。

上記のセキュリティに関する問題に加えて WordPress 4.7.3 では 4.7 リリースシリーズに対する39件のメンテナンス修正が実施されています。より詳しい情報はリリースノート変更リストを参照してください。

WordPress 4.7.3 への更新は ダッシュボード > 更新 メニューから。自動バックグラウンド更新をサポートしているサイトではすでに更新のプロセスが進んでいるはずです。