これは過去のものにも影響する『セキュリティメンテナンス』とされています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日でしたでしょうか、早くもWordPressの更新版『WordPress 5.0.1』が公開されました。

今日はそのニュースをお伝えします。

WordPress 5.0.1への更新を強く推奨

WordPressのブログニュースを見る限り、今回のリリースは『WordPress 3.7以降のすべてのバージョン』に対するセキュリティリリースで、『すぐにサイトを更新することを強くお勧めします』とされています。

リスクを考えると、『WordPress 5.0″ベボ”』へのアップデートを様子見していた方もアップデートせざるを得ないとも言えます。

以下、発見された脆弱性の内容です。

１．著者が許可されていないファイルを削除するためにメタデータを変更できてしまう

２．著者が特別に細工された入力で許可されていないタイプの投稿を作成できる可能性がある

３．コントリビュータがPHPオブジェクトインジェクションの結果としてメタデータを作成できてしまう

４．コントリビュータがより高い権限を持つユーザーからの新しいコメントを編集し、クロスサイトスクリプティングの脆弱性を招く可能性がある

５．特別に細工されたURL入力が、状況によってはクロスサイトスクリプティングの脆弱性を引き起こす可能性がある

（WordPress本体は影響を受けていなかったが、プラグインはいくつかの状況にある可能性がある）

６．ユーザーアクティベーション画面を検索エンジンで索引付けすることができ、電子メールアドレスの公開につながり、場合によってはデフォルトのパスワードが生成される

７．Apacheホストサイトの作者がMIME検証をバイパスする細工されたファイルをアップロードし、クロスサイトスクリプティングの脆弱性を引き起こす

早めの段階でWordPress 5.0.1へアップデートされることがお勧めです。