WordPress、バージョン5.4~5.8で脆弱性。対策バージョン5.8.1リリース済み。

WordPress5.4~5.8のバージョンには3つの脆弱性が存在しています。

 

脆弱性タイプ

XSS

INJECTION

SENSITIVE DATA DISCLOSURE

 

発見バージョン

バージョン5.4~5.8

 

内容

XSS

認証されているが特権の低いユーザー(寄稿者/作成者など)がエディターでXSSを実行できる脆弱性が存在します。

 

INJECTION

Lodashライブラリは、各ブランチでバージョン4.17.21に更新されました。

Lodashの変更ログには、コマンドインジェクションの脆弱性に最新パッチが適用されたことが記載されています。

 

SENSITIVE DATA DISCLOSURE

関数wp_die()の出力データが特定の条件下でリークされる可能性が存在します。

 

詳細

2021年9月9日「WordPress 5.8.1」がリリースされました。

今回のアップデートは、3つの脆弱性に対応したものになります。

上記の脆弱性のうち2つは、CVE ID(CVE-2021-39200,CVE-2021-39201)が付与されております。

上記の脆弱性は、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」の基本値はそれぞれ「5.3」と「7.6」、重要度は「Medium」と「High」に評定されています。

WordPress開発チームは、今回のアップデートを短期間のセキュリティリリースと位置付け、5.4から5.8の間のWordPressバージョンに対してアップデートを用意しています。

自動更新設定されている方はすでに更新されていると思いますが、そのほかの方は手動での更新となりますので、早めの対応をお勧めします。

 

対応方法

セキュリティ対策版へアップデートする。

詳細は図表の通り。

現在ご利用のバージョン 対策済みバージョン
5.8 5.8.1
5.7~5.7.2 5.7.3
5.6~5.6.4 5.6.5
5.5~5.5.5 5.5.6
5.4~5.4.6 5.4.7

 

【参照】WordPress 5.8.1 Security and Maintenance Release

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!


\ この記事をシェアする /

こんな記事も読まれています