WordPress 6.4.3 メンテナンスとセキュリティのリリース

以下は WordPress.org 公式ブログの記事「WordPress 6.4.3 – Maintenance and Security release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


このメンテナンスとセキュリティのリリースではコアの5件のバグ修正ブロックエディターの16件のバグ修正、2件のセキュリティ修正が実施されます。

これはセキュリティリリースです。管理するサイトの WordPress を直ちに更新してください。WordPress 4.1 以降の各メジャーバージョンに対するバックポート対応も行われます。

WordPress 6.4.3 は WordPress.org からダウンロードできます。または、WordPress ダッシュボードに移動して、「更新」をクリック、次いで「今すぐ更新」をクリックします。自動バックグラウンド更新をサポートするサイトでは更新プロセスが自動的に始まるでしょう。

WordPress 6.4.3 はショートサイクルリリースです。次のメジャーリリースは2024年3月26日にリリースされる予定の 6.5 です。本リリースのメンテナンスアップデートについての概要はリリース候補版の告知をご覧ください。本リリースについてのより詳細な情報は HelpHub サイトでご確認ください。

本リリースのセキュリティアップデート

セキュリティチームは責任ある脆弱性報告とそれらの本リリースでの修正に協力された以下の方々に対し感謝を表明します:

  • プラグインインストーラー経由の PHP ファイルアップロードバイパス (管理者権限を要する) を発見された m4tuto
  • RCE POP Chains 脆弱性について発見された @pentestltd@_s_n_t と Trend Micro Zero Day Initiative

コントリビューターの皆さんに感謝

本リリースは Sarah NorrisJoe McGill、ならびに Aaron Jorbin の指導で行われました。

(訳註: WordPress 6.4.3 の貢献者一覧については日本語訳から割愛します。ぜひ原文記事をご覧ください。)

貢献するには

WordPress コアの開発に参画するには、Trac にアクセスしチケットを選択、そして #core#6-5-release-leads チャンネルの会話に参加することです。手助けが必要ですか ? Core Contributor Handbook をご確認ください。

最後に、WordPress セキュリティチームがあなたにメールを送ってプラグインやテーマのインストールを要求したり、管理者アカウントのログイン名とパスワードを尋ねたりすることは絶対にありません。フィッシング詐欺が流行っていますのでご注意ください。

WordPress 6.4.2 メンテナンスとセキュリティのリリース

以下は WordPress.org 公式ブログの記事「WordPress 6.4.2 Maintenance & Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 6.4.2 が公開されました !

このマイナーリリースでは WordPress コアの7件のバグが修正されます。スタイルシートとテーマのディレクトリが不正な結果を返す問題に関するバグ修正が含まれます。

このリリースは1件のセキュリティ修正を含むセキュリティリリースでもあります。今すぐサイトを更新しましょう。

WordPress 6.4.2 は WordPress.org からダウンロードできます。または、WordPress ダッシュボードに移動して、「更新」をクリック、次いで「今すぐ更新」をクリックします。自動バックグラウンド更新をサポートするサイトでは更新プロセスが自動的に始まるでしょう。

WordPress 6.4.2 はショートサイクルリリースです。次のメジャーリリースは2024年初頭にリリースされる予定の 6.5 です。

本リリースについてのより詳細な情報は HelpHub サイトでご確認ください。

本リリースのセキュリティアップデート

本リリースでは以下の脆弱性への対応が行われました。

  • 遠隔コード実行の脆弱性: 本件は WordPress コアの直接的な不正利用可能性ではないものの、一部のプラグインとの組み合わせにより、特にマルチサイトインストールの環境下において、高い深刻性を伴うものとなる可能性があります。

セキュリティチームと全世界の WordPress ユーザーの助けとなるよう、脆弱性を報告する際には責任ある行動が推奨されます。これにより将来のリリースでの脆弱性修正が可能になります。

コントリビューターの皆さんに感謝

本リリースは Aaron Jorbin の指導で行われました。

(訳註: WordPress 6.4.2 の貢献者一覧については日本語訳から割愛します。ぜひ原文記事をご覧ください。)

貢献するには

WordPress コアの開発に参画するには、Trac にアクセスしチケットを選択、そして #core チャンネルの会話に参加することです。手助けが必要ですか ? Core Contributor Handbook をご確認ください。

最後に、WordPress セキュリティチームがあなたにメールを送ってプラグインやテーマのインストールを要求したり、管理者アカウントのログイン名とパスワードを尋ねたりすることは絶対にありません。フィッシング詐欺が流行っていますのでご注意ください。

警報: WordPress セキュリティチームなりすまし詐欺

以下は WordPress.org 公式ブログの記事「Alert: WordPress Security Team Impersonation Scams」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress セキュリティチームによると、「WordPress チーム」あるいは「WordPress セキュリティチーム」を詐称してサイト管理者をだまし、マルウェアを含んだ危険なプラグインをインストールするように仕向けるフィッシング詐欺の試みが現在確認されています。

本物の WordPress セキュリティチームがメールを送りつけてプラグインやテーマをサイトにインストールするよう求めたりすることはありません。管理者のログイン名やパスワードを尋ねることも絶対にありませんのでよく覚えておいてください。

WordPress を名乗る上記のような内容のメールを受け取った場合はメールの指示に従わないように注意してください。また、メールサービスのプロバイダーに対してはこのメールが詐欺であることを通報してください。

これら詐欺メールがリンク先としているサイトは WordPress やその関係者の所有ではないドメインに設置された WordPress プラグインの野良リポジトリのようです。PatchstackWordfence がそれぞれこの問題に関する詳細を記事にまとめています。

WordPress プロジェクトが送付する本物のメールには次のような特徴が見られます:

  • 送信元ドメインが @wordpress.org または @wordpress.net であること。
  • メールの詳細セクションに “Signed by: wordpress.org” の署名があること。
Screenshot of email sent by a WordPress.org email account. The details include "mailed-by wordpress.org" and "signed-by wordpress.org".

WordPress セキュリティチームが WordPress ユーザーに連絡を取る場合に用いるロケーションは次の二つに限られます。

WordPress プラグインチームがプラグインのユーザー個人に対し直接連絡を取ることはありません。ただし、プラグインのオーナーやコントリビューター、またはサポート担当者に対してメールを送信することはあるかもしれません。その場合でも、本物のメールであれば必ず plugins@wordpress.org から送信されており、また上述の署名があるはずですので判別は可能です。

公式の WordPress プラグインリポジトリは wordpress.org/plugins に置かれています。また、そのローカル版がサブドメインにあり、例えば fr.wordpress.org/plugins (フランス語版)、en-au.wordpress.org/plugins (オーストラリア英語版) などがあります。サブドメインにハイフン (-) が含まれることはありますが、サブドメインと wordpress.org の間には必ずドット (.) があります。

WordPress サイト管理者は WordPress ダッシュボードのプラグインメニュー経由でプラグインリポジトリにアクセスすることも可能です。

WordPress は最も多く使われる CMS です。そのためこの類のフィッシング詐欺の試みが確認されることは珍しいことではありません。送信元に心当たりのないメールがテーマやプラグインのインストールを求めてくる、あるいはログインフォームにリンクしてログインするよう促してくるような時は、十二分に用心深く対応するべきでしょう。

Scamwatch のサイトでは詐欺の可能性があるメールやテキストメッセージの見分け方についていくつか紹介しています。

WordPress に関してセキュリティ脆弱性を発見した場合は、責任のある情報開示を求めるセキュリティポリシーに従って、プロジェクトの公式 HackerOne ページから WordPress セキュリティチームに直接報告してください。

WordPress 6.3.2 メンテナンスとセキュリティのリリース

以下は、Jb Audras による WordPress.org 公式ブログの記事「WordPress 6.3.2 – Maintenance and Security release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


このメンテナンスとセキュリティのリリースでは、コアで19のバグ修正、ブロックエディターで22のバグ修正、そして8つのセキュリティ修正が行われています。

WordPress 6.3.2 は、ショートサイクルのリリースです。このリリースに含まれるメンテナンスアップデートの概要は、リリース候補のアナウンスメントをご覧ください。セキュリティリリースであるため、直ちにサイトを更新することをお勧めします。4.1以降の主要な WordPress リリースのバックポートも利用可能です。

次のメジャーリリースはバージョン 6.4 で、2023年11月7日にリリースが予定されています。

自動バックグラウンド更新をサポートするサイトでは、更新プロセスが自動的に開始されます。

手動での更新を行う場合は、WordPress.org から WordPress 6.3.2 をダウンロード、または WordPress のダッシュボードで「更新」をクリックし、「バージョン 6.3.2-ja に更新」をクリックします。

このリリースについてのさらに詳しい情報は HelpHub サイトを参照してください。

このリリースに含まれるセキュリティアップデート

セキュリティチームは、責任を持って脆弱性を報告し、このリリースで修正することを可能にした次の人々に感謝します。

  • Automattic の Marc Montpas による、ユーザーメールアドレス漏洩の可能性の発見。
  • Automattic の Marc Montpas による、RCE POP チェーンの脆弱性の発見。
  • Patchstack の Rafie Muhammad と Edouard L が、WordPress による第三者監査委託とともに、投稿リンクナビゲーションブロックの XSS 問題をそれぞれ独自に特定しました。
  • WordPress セキュリティチームの Jb AudrasPatchstack の Rafie Muhammad が、非公開投稿のコメントが他のユーザーに漏れる可能性がある問題をそれぞれ独自に発見しました。
  • John Blackbourn (WordPress セキュリティチーム)、James GolovichJ.D GrimesNuman TurleWhiteCyberSec が、ログインユーザーが任意のショートコードを実行できることをそれぞれ独自に特定しました。
  • mascara7784 と第三者セキュリティ監査による、アプリケーションパスワード画面の XSS 脆弱性の特定。
  • WordPress コアチーム Jorge Costa による、脚注ブロック XSS 脆弱性の特定。
  • s5sraouf_maklouf による、キャッシュポイズニング DoS 脆弱性の独自特定。

以下の WordPress の貢献者に感謝します

このリリースは、Joe McGillAaron JorbinJb Audras が主導し、ミッションコントロールに David Baumwald が協力しました。

WordPress 6.3.2 は、次の方々の貢献なしには実現できませんでした。メンテナンスとセキュリティの修正を安定したリリースに反映させるための彼らの非同期的な連携は、WordPress コミュニティの力と能力の証です。

[訳注: 貢献者一覧は、英語版原文を参照してください。]

WordPress に貢献する方法

WordPress のコア開発に参加するには、Trac に移動して チケットを選び#core#6-4-release-leads チャンネルで会話に参加してみてください。ヘルプが必要ですか? Core Contributor Handbook をご覧ください。

すでに WordPress 6.4 をテスト中ですか? 現在入手可能な4つ目のベータ版 (zip) には、上記のセキュリティ修正が含まれています。6.4 の詳細については、ベータ 3 のアナウンス記事をご覧ください。

校正に協力してくれた @jeffpaul@chanthaboune@peterwilsoncc@rawrly に感謝します。

WordPress 6.2.2 セキュリティリリース

以下の内容は WordPress.org 公式ブログの記事「WordPress 6.2.2 Security Release」を日本語に訳したものです。

誤字脱字、誤訳などありましたらフォーラムまでお知らせください


WordPress 6.2.2 が公開されました

6.2.2マイナーリリースでは、 1つのバグ と1つのセキュリティ問題に対処しています。これはセキュリティリリースであるため、すぐにサイトを更新することが推奨されます。WordPress 5.9 以降のすべてのバージョンも更新されています。

WordPress 6.2.2 は、6.2.1 のリグレッションに対応し、6.2.1 で対処した脆弱性にさらにパッチを当てる、迅速な対応リリースです。次のメジャーリリースは、2023年8月に予定されているバージョン6.3です。

自動バックグラウンド更新をサポートするサイトでは更新プロセスが自動的に開始されます。

手動での更新を行う場合は、WordPress.org から WordPress 6.2.2 をダウンロード、または WordPress ダッシュボードにて「更新」をクリックし、「バージョン 6.2.2-ja に更新」をクリックします。

さらに詳しい情報 HelpHub サイトを参照してください。

このリリースに含まれるセキュリティアップデート

セキュリティチームは、責任を持って脆弱性を報告し、このリリースで修正されることを可能にした次の人々に感謝します。

  • ユーザー生成データのショートコードを解析するブロックテーマ。この問題を報告してくれた WP Engine の Liam Gladdy 氏に感謝します。

上記の問題は、もともと6.2.1リリースで修正されたものですが、6.2.2でさらに強化する必要がありました。Coreチームは、6.2.1に対するコミュニティの反応と、6.2.2での適切な解決に向けた最善の道を見つけるための協力に感謝しています。6.2.2に携わった人々は、これをできるだけ早くリリースするために非同期で作業している間、皆さんのご理解に特に感謝しています。

コントリビューターの皆さんへ感謝を

このリリースは Jonathan Desrosiers によってリードされました。

WordPress 6.2.2は、次の方々の協力なしには実現できませんでした。セキュリティの修正を安定したリリースにするための彼らの非同期的な連携は、WordPress コミュニティの力と能力の証です。

Aaron JorbinAlex ConchaAnthony BurchellChloe Bringmannchriscct7Daniel RichardsDavid BaumwaldEhtisham S.Greg ZiółkowskiIsabel BrisonJb AudrasJeffrey PaulJohn BlackbournJonathan DesrosiersJosephaMarius L. J.Matias VenturaMike SchroderPeter WilsonRiad BenguellaRobert AndersonRyan McCueSamuel Wood (Otto)Scott Reilly, そして Timothy Jacobs

コントリビュートするには

WordPress のコア開発に参加するには、Trac に移動して チケットを選び#core#6-3-release-leads チャンネルで会話に参加してみてください。ヘルプが必要ですか? Core Contributor Handbook をご覧ください。

校正に協力してくれた @cbringmann@davidbaumwald@chanthaboune@jeffpaul に感謝します。

WordPress 6.2.1 メンテナンスとセキュリティのリリース

以下の内容は WordPress.org 公式ブログの記事「WordPress 6.2.1 Maintenance & Security Release」を日本語に訳したものです。

誤字脱字、誤訳などありましたらフォーラムまでお知らせください


WordPress 6.2.1 が公開されました

このマイナーリリースでは、コアの20のバグの修正ブロックエディターの10のバグの修正が行われています。このリリースに含まれるメンテナンスアップデートの概要は、リリース候補のアナウンスメントをご覧ください。

このリリースには、いくつかのセキュリティ修正も含まれています。セキュリティリリースですので、すぐにサイトをアップデートすることを推奨します。WordPress 4.1以降のすべてのバージョンも更新されています。

WordPress 6.2.1は、ショートサイクルのリリースです。次のメジャーリリースはバージョン6.3で、2023年8月にリリースが予定されています。

自動バックグラウンド更新をサポートするサイトでは、更新プロセスが自動的に開始されます。

手動での更新を行う場合は、WordPress.org から WordPress 6.2.1 をダウンロード、または WordPress ダッシュボードにて「更新」をクリックし、「バージョン 6.2.1-ja に更新」をクリックします。

さらに詳しい情報はバージョン 6.2.1 の HelpHub ドキュメンテーションページを参照してください。

このリリースに含まれるセキュリティアップデート

セキュリティチームは、責任を持って脆弱性を報告し、このリリースで修正することを可能にした次の人々に感謝したいと思います。

  • ユーザー生成データのショートコードを解析するブロックテーマ; この問題を報告してくれた WP Engine のLiam Gladdy氏に感謝します。
  • 添付ファイルのサムネイルを更新するCSRFの問題; WordPress セキュリティチームのJohn Blackbourn の報告による。
  • オープンエンベッドの自動検出による XSS を可能にする欠陥; Securitum の Jakub Żoczek により独自に、またサードパーティによるセキュリティ監査で報告されました。
  • 権限が低いユーザーのブロック属性におけるKSESサニタイズのバイパス; サードパーティのセキュリティ監査中に発見された。
  • 翻訳ファイルを介したパストラバーサルの問題; Ramuel Gall氏によって独自に報告され、サードパーティのセキュリティ監査で発見されました。

WordPress の協力者のみなさまに感謝します

このリリースは、Jb AudrasGeorge MamadashviliSergey BiryukovPeter Wilson.によってリードされました。

WordPress 6.2.1は、次の方々の協力なしには実現できませんでした。メンテナンスとセキュリティの修正を安定したリリースにするための彼らの非同期的な連携は、WordPress コミュニティの力と能力の証です。

Adam SilversteinAki HamanoaminAndrew OzzAndrew SerongAndréAri StathopoulosBirgit Pauli-HaackChirag RathodColin StewartDaniel RichardsDavid BaumwaldDavid BiňovecDennis SnelldevshagorDhrumil KumbhaniDominik SchillingEllaGeorge MamadashviliIsabel BrisonJb AudrasJoe DolsonJoen A.John BlackbournJonathan DesrosiersJuanMa GarridoJuliette Reinders FolmerKai HaoKailey (trepmal)MarcMarine EVAINMatt WiebeMukesh PanchalnendebNick DiegonickpapNik TsekourasPavan PatilPeter WilsonpouicpouicRiad BenguellaRyan WelcherScott ReillySergey BiryukovStephen BernhardttmatsuurTobiasBgTonya MorkUgyen DorjiWeston Ruter, and zieladam.

コントリビュートするには

WordPress のコア開発に参加するには、Trac に移動して チケットを選び#core#6-3-release-leads チャンネルで会話に参加してみてください。ヘルプが必要ですか? Core Contributor Handbook をご覧ください。

校正に協力してくれた @sergeybiryukov に感謝します。

WordPress 6.0.3 セキュリティリリース

以下の内容は WordPress.org 公式ブログの記事「WordPress 6.0.3 Security Release」を日本語に訳したものです。

誤字脱字、誤訳などありましたらフォーラムまでお知らせください


WordPress 6.0.3 が公開されました。

今回のリリースには数件のセキュリティ修正が含まれます。セキュリティに関するリリースですので速やかな更新が推奨されます。WordPress 3.7 以降の全メジャーバージョンに対してもアップデートが行われています。

WordPress 6.0.3 はショートサイクルのリリースです。次のメジャーリリースは2022年11月1日に予定されている 6.1 です。

自動バックグラウンド更新をサポートしているサイトでは更新プロセスが自動的に開始されます。

WordPress 6.0.3 を WordPress.org からダウンロードするか、WordPress ダッシュボードで 6.0.3 への更新を行ってください。

このリリースに関するより詳しい情報は HelpHub サイトをご確認ください

このリリースに含まれるセキュリティ更新について

今回のリリースでは以下の脆弱性が修正されました。WordPress セキュリティチームは責任ある脆弱性報告を寄せられた皆さんに感謝を表明します。

  • wp-mail.php (メールによる投稿) を利用した蓄積型 XSS – 米山 俊嗣 (三井物産セキュアディレクション株式会社) (JPCERT 経由)
  • wp_nonce_ays におけるオープンリダイレクト – devrayn
  • wp-mail.php で送信者メールアドレスが露出される問題 – 米山 俊嗣 (三井物産セキュアディレクション株式会社) (JPCERT 経由)
  • メディアライブラリ – SQLi を利用した反射型 XSS – Ben Bidner (WordPress セキュリティチーム)、Marc Montpas (Automattic)
  • wp-trackback.php における CSRF – Simon Scannell
  • カスタマイザーを利用した蓄積型 XSS – Alex Concha (WordPress セキュリティチーム)
  • 変更 50790 で持ち込まれたユーザーインスタンス共有の復旧 – Alex Concha、Ben Bidner (WordPress セキュリティチーム)
  • コメント編集を介した WordPress コアにおける蓄積型 XSS – 第三者セキュリティ監査報告ならびに Alex Concha (WordPress セキュリティチーム)
  • REST API のターム/タグエンドポイントを介したデータ露出 – Than Taintor
  • マルチパートメール内容の漏洩 – Thomas Kräftner
  • WP_Date_Query の不適切なサニタイズ処理による SQL インジェクション – Michael Mazzolini
  • RSS ウィジェット: 蓄積型 XSS – 第三者セキュリティ監査報告
  • 検索ブロックにおける蓄積型 XSS – Alex Concha (WordPress セキュリティチーム)
  • アイキャッチ画像ブロック: XSS – 第三者セキュリティ監査報告
  • RSS ブロック: 蓄積型 XSS – 第三者セキュリティ監査報告
  • ウィジェットブロック XSS の修正 – 第三者セキュリティ監査報告
  • 以上、敬称略。

貢献者のみなさんに感謝します

WordPress 6.0.3 は多数の貢献者による協調作業の賜物です。彼らの非同期的協働による多数の改善と修正がひとつの安定版リリースに結実したことはまさに WordPress コミュニティのパワーと能力を証明するものと言えるでしょう。

(日本語訳者による注記: 紙幅の都合により貢献者の一覧を割愛します。興味のある方はぜひ投稿原文をご参照ください。)

WordPress バージョン 3.7 – 4.0 へのセキュリティアップデート提供の終了について

以下の内容は WordPress.org 公式ブログの記事「Dropping security updates for WordPress versions 3.7 through 4.0」を日本語に訳したものです。

誤字脱字、誤訳などありましたらフォーラムまでお知らせください


2022年12月1日をもって、WordPress セキュリティチームは WordPress バージョン 3.7 から 4.0 までに対するセキュリティアップデートの提供を終了します。

これらのバージョンの WordPress は8年以上前にリリースされたものであり、現在稼働している WordPress サイトの大多数ではそれより新しいバージョンが利用されています。本件があなたのサイトに影響を及ぼす可能性は極めて小さいと考えてよいでしょう。

最新版の WordPress を使っているか不確かな場合はサイトのダッシュボードにログインして確認しましょう。最新ではないバージョンの WordPress が使われているなら次のような通知が表示されます:

WordPress update notice: "WordPress 6.0.2 is available! Pleaes update now."

現在使用しているバージョンはダッシュボードの「概要」セクション下部に表示されます。

"At a Glance" section of the WordPress dashboard. The final line includes the exact version of WordPress the site is running.

サポート終了までのプロセスについてのさらに詳しい情報が Make WordPress Security ブログに掲載されています。

WordPress 5.9.2 セキュリティとメンテナンスのリリース

以下は、Jb Audras が書いた WordPress.org 公式ブログの記事「WordPress 5.9.2 Security & Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 5.9.2がリリースされました !

このセキュリティおよびメンテナンスリリースでは、3つのセキュリティ修正に加え、1つのバグ修正が含まれています。このリリースはセキュリティリリースですので、直ちにサイトを更新することをお勧めします。また、WordPress 3.7 以降のすべてのバージョンも更新されています。

WordPress 5.9.2 はセキュリティとメンテナンスのためのリリースです。次のメジャーリリースはバージョン6.0です。

WordPress 5.9.2 は WordPress.org からダウンロードするか、ダッシュボード > 更新 メニューで 今すぐ更新 をクリックして更新できます。

自動バックグラウンド更新がサポートされたサイトではすでに更新のプロセスが始まっているでしょう。

より詳しい情報は、Trac の変更点の完全なリストを参照するか、または 5.9.2 の HelpHub ドキュメンテーションページを確認してください。

感謝と称賛を !

5.9.2のリリースは Jb Audras がリードし、Jorge Costa がパッケージの更新、Sergey Biryukov がミッションコントロール、そして David Baumwald がバックポートコミットを担当しています。

上記のリリースメンバーに加え、WordPress 5.9.2 の実現に協力してくださったすべての方に感謝します:

Alan Jacob Mathew, Alex Concha, André, Anton Vlasenko, David Baumwald, ehtis, Jb Audras, Jorge Costa, Peter Wilson, Sergey Biryukov, Tonya Mork, そして ironprogrammer

ピアレビューをしてくれた @davidbaumwald@sergeybiryukov に感謝します。

WordPress 5.8.3 セキュリティリリース

以下は、Jonathan Desrosiers が書いた WordPress.org 公式ブログの記事「WordPress 5.8.3 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


今回のセキュリティリリースでは、4件のセキュリティ修正が行われています。セキュリティリリースですので、直ちにサイトを更新することをお勧めします。WordPress 3.7 以降のすべてのバージョンも更新されています。

WordPress 5.8.3 は短いサイクルでのセキュリティリリースです。次のメジャーリリースはバージョン 5.9 で、すでにリリース候補の段階に入っています。

WordPress 5.8.3 に更新するには、WordPress.org からダウンロード、または、「ダッシュボード」→「更新」にアクセスして「今すぐ更新」をクリックしてください。

自動バックグラウンド更新がサポートされているサイトでは、すでに更新プロセスが開始されています。

セキュリティ更新

4つのセキュリティの問題が、3.7 から 5.8 までの WordPress のバージョンに影響を与えています。まだ 5.8 に更新していない場合は、3.7 以降のすべての WordPress バージョンも、以下のセキュリティ問題の修正のために更新されます (特記事項除く)。

  • 投稿スラッグを通じた保存 XSS の問題を開示してくれた SonarSource の Karim El Ouerghemmi と Simon Scannell に感謝します。
  • マルチサイトインストールにおけるオブジェクトインジェクションに関する問題を報告してくれた SonarSource の Simon Scannell に感謝します。
  • Trend Micro Zero Day Initiative と協力して WP_Query の SQL インジェクション脆弱性を報告してくれた GiaoHangTietKiem JSC の ngocnb と khuyenn に感謝します。
  • WP_Meta_Query に SQL インジェクションの脆弱性があることを報告してくれた WordPress セキュリティチームの Ben Bidner に感謝します (バージョン 4.1~5.8 のみ対象)。

非公開で脆弱性情報を開示してくださった報告者の皆様に感謝いたします。これにより、セキュリティチームは、WordPress サイトが攻撃される前に脆弱性を修正することができました。これらの修正を WordPress に実装してくれた WordPress セキュリティチームのメンバーにも感謝します。

詳細については、バージョン 5.8.3 の HelpHub ドキュメントページをご覧ください。

(訳注: 貢献者セクションは、原文を参照してください。)