- 2020年5月7日
- WordPress脆弱性情報
WordPress、バージョン5.4以下で複数の脆弱性。対策バージョン5.4.1リリース済み。
WordPress5.4以下のバージョンには7つの脆弱性が存在しております。
※ただし、⑦は公式リリースには存在していない脆弱性です。
脆弱性タイプ
①XSS
②XSS
③XSS
④XSS
⑤BYPASS
⑥BYPASS
⑦XSS
発見バージョン
①バージョン5.4
②バージョン5.4
③バージョン5.4
④バージョン5.4
⑤バージョン5.4
⑥バージョン5.4
⑦バージョン5.4 RC1、バージョン5.4 RC2
内容
①ユーザーのカスタマイズ機能にて、XSSが発生する脆弱性。
②ファイルのアップロードにおいて、XSSが発生する脆弱性。
③検索ブロックにおいて、XSSが発生する脆弱性。
④wp-object-cacheにおいて、XSSが発生する脆弱性。
⑤パスワードリセットトークンを正しく無効化できない脆弱性。
⑥認証されていないユーザーが特定のプライベート投稿を表示できる脆弱性。
⑦ブロックエディターにおいて、XSSが発生する脆弱性。
対応方法
セキュリティ対策版へアップデートする。
詳細は図表の通り。
| 現在ご利用のバージョン | 対策済みバージョン |
| 1.0~3.6.1 | 5.4.1 |
| 3.7~3.7.32 | 3.7.33 |
| 3.8~3.8.32 | 3.8.33 |
| 3.9~3.9.30 | 3.9.31 |
| 4.0~4.0.29 | 4.0.30 |
| 4.1~4.1.29 | 4.1.30 |
| 4.2~4.2.26 | 4.2.27 |
| 4.3~4.3.22 | 4.3.23 |
| 4.4~4.4.21 | 4.4.22 |
| 4.5~4.5.20 | 4.5.21 |
| 4.6~4.6.17 | 4.6.18 |
| 4.7~4.7.16 | 4.7.17 |
| 4.8~4.8.12 | 4.8.13 |
| 4.9~4.9.13 | 4.9.14 |
| 5.0~5.0.8 | 5.0.9 |
| 5.1~5.1.4 | 5.1.5 |
| 5.2~5.2.5 | 5.2.6 |
| 5.3~5.3.2 | 5.3.3 |
| 5.4 | 5.4.1 |
自動更新設定されている方はすでに更新されていると思いますが、そのほかの方は手動での更新となりますので、早目の対応をお勧めします。
WordPress5.4.1は、セキュリティ&メンテナンスリリースとなっており、17件のバグ修正が施されました。
【参照】WordPress 5.4.1
