カテゴリー: Security

以下は、Jb Audras による WordPress.org 公式ブログの記事「WordPress 6.3.2 – Maintenance and Security release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

このメンテナンスとセキュリティのリリースでは、コアで19のバグ修正、ブロックエディターで22のバグ修正、そして8つのセキュリティ修正が行われています。

WordPress 6.3.2 は、ショートサイクルのリリースです。このリリースに含まれるメンテナンスアップデートの概要は、リリース候補のアナウンスメントをご覧ください。セキュリティリリースであるため、直ちにサイトを更新することをお勧めします。4.1以降の主要な WordPress リリースのバックポートも利用可能です。

次のメジャーリリースはバージョン 6.4 で、2023年11月7日にリリースが予定されています。

自動バックグラウンド更新をサポートするサイトでは、更新プロセスが自動的に開始されます。

手動での更新を行う場合は、WordPress.org から WordPress 6.3.2 をダウンロード、または WordPress のダッシュボードで「更新」をクリックし、「バージョン 6.3.2-ja に更新」をクリックします。

このリリースについてのさらに詳しい情報は HelpHub サイトを参照してください。

このリリースに含まれるセキュリティアップデート

セキュリティチームは、責任を持って脆弱性を報告し、このリリースで修正することを可能にした次の人々に感謝します。

• Automattic の Marc Montpas による、ユーザーメールアドレス漏洩の可能性の発見。
• Automattic の Marc Montpas による、RCE POP チェーンの脆弱性の発見。
• Patchstack の Rafie Muhammad と Edouard L が、WordPress による第三者監査委託とともに、投稿リンクナビゲーションブロックの XSS 問題をそれぞれ独自に特定しました。
• WordPress セキュリティチームの Jb Audras と Patchstack の Rafie Muhammad が、非公開投稿のコメントが他のユーザーに漏れる可能性がある問題をそれぞれ独自に発見しました。
• John Blackbourn (WordPress セキュリティチーム)、James Golovich、J.D Grimes、Numan Turle、WhiteCyberSec が、ログインユーザーが任意のショートコードを実行できることをそれぞれ独自に特定しました。
• mascara7784 と第三者セキュリティ監査による、アプリケーションパスワード画面の XSS 脆弱性の特定。
• WordPress コアチーム Jorge Costa による、脚注ブロック XSS 脆弱性の特定。
• s5s と raouf_maklouf による、キャッシュポイズニング DoS 脆弱性の独自特定。

以下の WordPress の貢献者に感謝します

このリリースは、Joe McGill、Aaron Jorbin、Jb Audras が主導し、ミッションコントロールに David Baumwald が協力しました。

WordPress 6.3.2 は、次の方々の貢献なしには実現できませんでした。メンテナンスとセキュリティの修正を安定したリリースに反映させるための彼らの非同期的な連携は、WordPress コミュニティの力と能力の証です。

[訳注: 貢献者一覧は、英語版原文を参照してください。]

WordPress に貢献する方法

WordPress のコア開発に参加するには、Trac に移動して チケットを選び、#core と #6-4-release-leads チャンネルで会話に参加してみてください。ヘルプが必要ですか? Core Contributor Handbook をご覧ください。

すでに WordPress 6.4 をテスト中ですか? 現在入手可能な4つ目のベータ版 (zip) には、上記のセキュリティ修正が含まれています。6.4 の詳細については、ベータ 3 のアナウンス記事をご覧ください。

校正に協力してくれた @jeffpaul、@chanthaboune、@peterwilsoncc、@rawrly に感謝します。

以下の内容は WordPress.org 公式ブログの記事「WordPress 6.2.2 Security Release」を日本語に訳したものです。

誤字脱字、誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 6.2.2 が公開されました

6.2.2マイナーリリースでは、 1つのバグ と1つのセキュリティ問題に対処しています。これはセキュリティリリースであるため、すぐにサイトを更新することが推奨されます。WordPress 5.9 以降のすべてのバージョンも更新されています。

WordPress 6.2.2 は、6.2.1 のリグレッションに対応し、6.2.1 で対処した脆弱性にさらにパッチを当てる、迅速な対応リリースです。次のメジャーリリースは、2023年8月に予定されているバージョン6.3です。

自動バックグラウンド更新をサポートするサイトでは更新プロセスが自動的に開始されます。

手動での更新を行う場合は、WordPress.org から WordPress 6.2.2 をダウンロード、または WordPress ダッシュボードにて「更新」をクリックし、「バージョン 6.2.2-ja に更新」をクリックします。

さらに詳しい情報 HelpHub サイトを参照してください。

このリリースに含まれるセキュリティアップデート

セキュリティチームは、責任を持って脆弱性を報告し、このリリースで修正されることを可能にした次の人々に感謝します。

• ユーザー生成データのショートコードを解析するブロックテーマ。この問題を報告してくれた WP Engine の Liam Gladdy 氏に感謝します。

上記の問題は、もともと6.2.1リリースで修正されたものですが、6.2.2でさらに強化する必要がありました。Coreチームは、6.2.1に対するコミュニティの反応と、6.2.2での適切な解決に向けた最善の道を見つけるための協力に感謝しています。6.2.2に携わった人々は、これをできるだけ早くリリースするために非同期で作業している間、皆さんのご理解に特に感謝しています。

コントリビューターの皆さんへ感謝を

このリリースは Jonathan Desrosiers によってリードされました。

WordPress 6.2.2は、次の方々の協力なしには実現できませんでした。セキュリティの修正を安定したリリースにするための彼らの非同期的な連携は、WordPress コミュニティの力と能力の証です。

Aaron Jorbin, Alex Concha, Anthony Burchell, Chloe Bringmann, chriscct7, Daniel Richards, David Baumwald, Ehtisham S., Greg Ziółkowski, Isabel Brison, Jb Audras, Jeffrey Paul, John Blackbourn, Jonathan Desrosiers, Josepha, Marius L. J., Matias Ventura, Mike Schroder, Peter Wilson, Riad Benguella, Robert Anderson, Ryan McCue, Samuel Wood (Otto), Scott Reilly, そして Timothy Jacobs

コントリビュートするには

WordPress のコア開発に参加するには、Trac に移動して チケットを選び、#core と #6-3-release-leads チャンネルで会話に参加してみてください。ヘルプが必要ですか? Core Contributor Handbook をご覧ください。

校正に協力してくれた @cbringmann, @davidbaumwald, @chanthaboune, @jeffpaul に感謝します。

以下の内容は WordPress.org 公式ブログの記事「WordPress 6.2.1 Maintenance & Security Release」を日本語に訳したものです。

誤字脱字、誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 6.2.1 が公開されました

このマイナーリリースでは、コアの20のバグの修正とブロックエディターの10のバグの修正が行われています。このリリースに含まれるメンテナンスアップデートの概要は、リリース候補のアナウンスメントをご覧ください。

このリリースには、いくつかのセキュリティ修正も含まれています。セキュリティリリースですので、すぐにサイトをアップデートすることを推奨します。WordPress 4.1以降のすべてのバージョンも更新されています。

WordPress 6.2.1は、ショートサイクルのリリースです。次のメジャーリリースはバージョン6.3で、2023年8月にリリースが予定されています。

自動バックグラウンド更新をサポートするサイトでは、更新プロセスが自動的に開始されます。

手動での更新を行う場合は、WordPress.org から WordPress 6.2.1 をダウンロード、または WordPress ダッシュボードにて「更新」をクリックし、「バージョン 6.2.1-ja に更新」をクリックします。

さらに詳しい情報はバージョン 6.2.1 の HelpHub ドキュメンテーションページを参照してください。

このリリースに含まれるセキュリティアップデート

セキュリティチームは、責任を持って脆弱性を報告し、このリリースで修正することを可能にした次の人々に感謝したいと思います。

• ユーザー生成データのショートコードを解析するブロックテーマ; この問題を報告してくれた WP Engine のLiam Gladdy氏に感謝します。
• 添付ファイルのサムネイルを更新するCSRFの問題; WordPress セキュリティチームのJohn Blackbourn の報告による。
• オープンエンベッドの自動検出による XSS を可能にする欠陥; Securitum の Jakub Żoczek により独自に、またサードパーティによるセキュリティ監査で報告されました。
• 権限が低いユーザーのブロック属性におけるKSESサニタイズのバイパス; サードパーティのセキュリティ監査中に発見された。
• 翻訳ファイルを介したパストラバーサルの問題; Ramuel Gall氏によって独自に報告され、サードパーティのセキュリティ監査で発見されました。

WordPress の協力者のみなさまに感謝します

このリリースは、Jb Audras、George Mamadashvili、Sergey Biryukov、Peter Wilson.によってリードされました。

WordPress 6.2.1は、次の方々の協力なしには実現できませんでした。メンテナンスとセキュリティの修正を安定したリリースにするための彼らの非同期的な連携は、WordPress コミュニティの力と能力の証です。

Adam Silverstein, Aki Hamano, amin, Andrew Ozz, Andrew Serong, André, Ari Stathopoulos, Birgit Pauli-Haack, Chirag Rathod, Colin Stewart, Daniel Richards, David Baumwald, David Biňovec, Dennis Snell, devshagor, Dhrumil Kumbhani, Dominik Schilling, Ella, George Mamadashvili, Isabel Brison, Jb Audras, Joe Dolson, Joen A., John Blackbourn, Jonathan Desrosiers, JuanMa Garrido, Juliette Reinders Folmer, Kai Hao, Kailey (trepmal), Marc, Marine EVAIN, Matt Wiebe, Mukesh Panchal, nendeb, Nick Diego, nickpap, Nik Tsekouras, Pavan Patil, Peter Wilson, pouicpouic, Riad Benguella, Ryan Welcher, Scott Reilly, Sergey Biryukov, Stephen Bernhardt, tmatsuur, TobiasBg, Tonya Mork, Ugyen Dorji, Weston Ruter, and zieladam.

コントリビュートするには

WordPress のコア開発に参加するには、Trac に移動して チケットを選び、#core と #6-3-release-leads チャンネルで会話に参加してみてください。ヘルプが必要ですか? Core Contributor Handbook をご覧ください。

校正に協力してくれた @sergeybiryukov に感謝します。

以下の内容は WordPress.org 公式ブログの記事「WordPress 6.0.3 Security Release」を日本語に訳したものです。

誤字脱字、誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 6.0.3 が公開されました。

今回のリリースには数件のセキュリティ修正が含まれます。セキュリティに関するリリースですので速やかな更新が推奨されます。WordPress 3.7 以降の全メジャーバージョンに対してもアップデートが行われています。

WordPress 6.0.3 はショートサイクルのリリースです。次のメジャーリリースは2022年11月1日に予定されている 6.1 です。

自動バックグラウンド更新をサポートしているサイトでは更新プロセスが自動的に開始されます。

WordPress 6.0.3 を WordPress.org からダウンロードするか、WordPress ダッシュボードで 6.0.3 への更新を行ってください。

このリリースに関するより詳しい情報は HelpHub サイトをご確認ください。

このリリースに含まれるセキュリティ更新について

今回のリリースでは以下の脆弱性が修正されました。WordPress セキュリティチームは責任ある脆弱性報告を寄せられた皆さんに感謝を表明します。

• wp-mail.php (メールによる投稿) を利用した蓄積型 XSS – 米山 俊嗣 (三井物産セキュアディレクション株式会社) (JPCERT 経由)
• wp_nonce_ays におけるオープンリダイレクト – devrayn
• wp-mail.php で送信者メールアドレスが露出される問題 – 米山 俊嗣 (三井物産セキュアディレクション株式会社) (JPCERT 経由)
• メディアライブラリ – SQLi を利用した反射型 XSS – Ben Bidner (WordPress セキュリティチーム)、Marc Montpas (Automattic)
• wp-trackback.php における CSRF – Simon Scannell
• カスタマイザーを利用した蓄積型 XSS – Alex Concha (WordPress セキュリティチーム)
• 変更 50790 で持ち込まれたユーザーインスタンス共有の復旧 – Alex Concha、Ben Bidner (WordPress セキュリティチーム)
• コメント編集を介した WordPress コアにおける蓄積型 XSS – 第三者セキュリティ監査報告ならびに Alex Concha (WordPress セキュリティチーム)
• REST API のターム/タグエンドポイントを介したデータ露出 – Than Taintor
• マルチパートメール内容の漏洩 – Thomas Kräftner
• WP_Date_Query の不適切なサニタイズ処理による SQL インジェクション – Michael Mazzolini
• RSS ウィジェット: 蓄積型 XSS – 第三者セキュリティ監査報告
• 検索ブロックにおける蓄積型 XSS – Alex Concha (WordPress セキュリティチーム)
• アイキャッチ画像ブロック: XSS – 第三者セキュリティ監査報告
• RSS ブロック: 蓄積型 XSS – 第三者セキュリティ監査報告
• ウィジェットブロック XSS の修正 – 第三者セキュリティ監査報告
• 以上、敬称略。

貢献者のみなさんに感謝します

WordPress 6.0.3 は多数の貢献者による協調作業の賜物です。彼らの非同期的協働による多数の改善と修正がひとつの安定版リリースに結実したことはまさに WordPress コミュニティのパワーと能力を証明するものと言えるでしょう。

(日本語訳者による注記: 紙幅の都合により貢献者の一覧を割愛します。興味のある方はぜひ投稿原文をご参照ください。)

以下は、Jb Audras が書いた WordPress.org 公式ブログの記事「WordPress 5.9.2 Security & Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 5.9.2がリリースされました !

このセキュリティおよびメンテナンスリリースでは、3つのセキュリティ修正に加え、1つのバグ修正が含まれています。このリリースはセキュリティリリースですので、直ちにサイトを更新することをお勧めします。また、WordPress 3.7 以降のすべてのバージョンも更新されています。

WordPress 5.9.2 はセキュリティとメンテナンスのためのリリースです。次のメジャーリリースはバージョン6.0です。

WordPress 5.9.2 は WordPress.org からダウンロードするか、ダッシュボード > 更新 メニューで 今すぐ更新 をクリックして更新できます。

自動バックグラウンド更新がサポートされたサイトではすでに更新のプロセスが始まっているでしょう。

より詳しい情報は、Trac の変更点の完全なリストを参照するか、または 5.9.2 の HelpHub ドキュメンテーションページを確認してください。

感謝と称賛を !

5.9.2のリリースは Jb Audras がリードし、Jorge Costa がパッケージの更新、Sergey Biryukov がミッションコントロール、そして David Baumwald がバックポートコミットを担当しています。

上記のリリースメンバーに加え、WordPress 5.9.2 の実現に協力してくださったすべての方に感謝します:

Alan Jacob Mathew, Alex Concha, André, Anton Vlasenko, David Baumwald, ehtis, Jb Audras, Jorge Costa, Peter Wilson, Sergey Biryukov, Tonya Mork, そして ironprogrammer。

ピアレビューをしてくれた @davidbaumwald と @sergeybiryukov に感謝します。

以下は、Jonathan Desrosiers が書いた WordPress.org 公式ブログの記事「WordPress 5.8.3 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

今回のセキュリティリリースでは、4件のセキュリティ修正が行われています。セキュリティリリースですので、直ちにサイトを更新することをお勧めします。WordPress 3.7 以降のすべてのバージョンも更新されています。

WordPress 5.8.3 は短いサイクルでのセキュリティリリースです。次のメジャーリリースはバージョン 5.9 で、すでにリリース候補の段階に入っています。

WordPress 5.8.3 に更新するには、WordPress.org からダウンロード、または、「ダッシュボード」→「更新」にアクセスして「今すぐ更新」をクリックしてください。

自動バックグラウンド更新がサポートされているサイトでは、すでに更新プロセスが開始されています。

セキュリティ更新

4つのセキュリティの問題が、3.7 から 5.8 までの WordPress のバージョンに影響を与えています。まだ 5.8 に更新していない場合は、3.7 以降のすべての WordPress バージョンも、以下のセキュリティ問題の修正のために更新されます (特記事項除く)。

• 投稿スラッグを通じた保存 XSS の問題を開示してくれた SonarSource の Karim El Ouerghemmi と Simon Scannell に感謝します。
• マルチサイトインストールにおけるオブジェクトインジェクションに関する問題を報告してくれた SonarSource の Simon Scannell に感謝します。
• Trend Micro Zero Day Initiative と協力して WP_Query の SQL インジェクション脆弱性を報告してくれた GiaoHangTietKiem JSC の ngocnb と khuyenn に感謝します。
• WP_Meta_Query に SQL インジェクションの脆弱性があることを報告してくれた WordPress セキュリティチームの Ben Bidner に感謝します (バージョン 4.1～5.8 のみ対象)。

非公開で脆弱性情報を開示してくださった報告者の皆様に感謝いたします。これにより、セキュリティチームは、WordPress サイトが攻撃される前に脆弱性を修正することができました。これらの修正を WordPress に実装してくれた WordPress セキュリティチームのメンバーにも感謝します。

詳細については、バージョン 5.8.3 の HelpHub ドキュメントページをご覧ください。

(訳注: 貢献者セクションは、原文を参照してください。)

以下は、Jonathan Desrosiers が書いた WordPress.org 公式ブログの記事「WordPress 5.8.2 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 5.8.2 が公開されました！

今回のセキュリティとメンテナンスのリリースでは、1件のセキュリティ修正に加え、2件のバグ修正が行われています。セキュリティリリースですので、直ちにサイトを更新することをお勧めします。WordPress 5.2 以降のすべてのバージョンも更新されています。

WordPress 5.8.2 は、狭い範囲に焦点を当てたセキュリティとメンテナンスのリリースです。次のメジャーバージョンリリースは 5.9 となります。

WordPress 5.8.2 をダウンロードするには、WordPress.org からダウンロード、または、「ダッシュボード」→「更新」にアクセスして「今すぐ更新」をクリックしてください。自動バックグラウンド更新がサポートされているサイトでは、すでに更新プロセスが開始されています。

詳細については、Trac の変更点全リストを参照するか、バージョン 5.8.2 の HelpHub ドキュメントページをご覧ください。

(訳注: 貢献者セクションは、原文を参照してください。)

以下は、Jonathan Desrosiers が書いた WordPress.org 公式ブログの記事「WordPress 5.8.1 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 5.8.1 が公開されました！

今回のセキュリティとメンテナンスのリリースでは、3件のセキュリティ修正に加え、60件のバグ修正が行われています。セキュリティリリースですので、直ちにサイトを更新することをお勧めします。WordPress 5.4 以降のすべてのバージョンも更新されています。

WordPress 5.8.1 は短いサイクルでのセキュリティとメンテナンスのリリースです。次のメジャーバージョンリリースは 5.9 となります。

WordPress 5.8.1 をダウンロードするには、WordPress.org からダウンロード、または、「ダッシュボード」→「更新」にアクセスして「今すぐ更新」をクリックしてください。

自動バックグラウンド更新がサポートされたサイトでは、すでに更新プロセスが開始されています。

セキュリティ更新

3つのセキュリティの問題が、5.4 から 5.8 までの WordPress のバージョンに影響を与えています。まだ 5.8 に更新していない場合は、5.4 以降のすべての WordPress バージョンも、以下のセキュリティ問題の修正のために更新されます。

• WordPress セキュリティチームのメンバー @mdawaffe による REST API におけるデータ漏洩の脆弱性修正に感謝します。
• Securitum の Michał Bentkowski によるブロックエディターの XSS 脆弱性の報告に感謝します。
• Lodash ライブラリが各ブランチでバージョン 4.17.21 に更新され、アップストリームのセキュリティ修正が組み込まれました。

これらの問題に加えて、WordPress 5.8 ベータテスト期間中に脆弱性を報告していただき、リリース前に修正可能にしてくださった以下の方々に感謝します。

• Evan Ricafort による 5.8 ベータ期間中に発見されたブロックエディターの XSS 脆弱性の報告に感謝します。
• Steve Henty によるブロックエディターでの権限昇格問題の報告に感謝します。

非公開で脆弱性情報を開示してくださった報告者の皆様に感謝いたします。これにより、WordPress セキュリティチームは、WordPress サイトが攻撃される前に脆弱性を修正することができました。

詳細については、Trac の変更点全リストを参照するか、バージョン 5.8.1 の HelpHub ドキュメントページをご覧ください。

（訳注: 貢献者セクションは、原文を参照してください。）

以下は、Peter Wilson が書いた WordPress.org 公式ブログの記事「WordPress 5.7.2 Security Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください。

---

WordPress 5.7.2 がリリースされました。

これは1件の修正を含んだセキュリティリリースです。セキュリティリリースですのであなたが管理するサイトを今すぐ更新してください。WordPress 3.7 以降の全メジャーバージョンに対しても同様のセキュリティリリースが出されています。

WordPress 5.7.2 はショートサイクルのセキュリティリリースです。次のメジャーリリースはバージョン 5.8 です。

WordPress 5.7.2 は WordPress.org からダウンロードするか、ダッシュボード > 更新 メニューで 今すぐ更新 をクリックして更新できます。

自動バックグラウンド更新がサポートされたサイトではすでに更新のプロセスが始まっているでしょう。

セキュリティ更新

バージョン 3.7 から 5.7 にかけての全バージョンの WordPress に影響するセキュリティ問題が確認されました。

• PHPMailer におけるオブジェクトインジェクション。CVE-2020-36326 ならびに CVE-2018-19296。

WordPress セキュリティチームにより WordPress にこれらの修正が実装されました。

より詳しい情報は 5.7.2 の HelpHub ドキュメンテーションページを確認してください。

感謝と称賛を

(翻訳者より: 日本語版では貢献者全員の名前を載せることができませんので、オリジナルの英語版リリース告知をぜひ参照してください。)