- 2021年9月14日
- WordPress脆弱性情報
WordPress、バージョン5.4~5.8で脆弱性。対策バージョン5.8.1リリース済み。
WordPress5.4~5.8のバージョンには3つの脆弱性が存在しています。
脆弱性タイプ
XSS
INJECTION
SENSITIVE DATA DISCLOSURE
発見バージョン
バージョン5.4~5.8
内容
XSS
認証されているが特権の低いユーザー(寄稿者/作成者など)がエディターでXSSを実行できる脆弱性が存在します。
INJECTION
Lodashライブラリは、各ブランチでバージョン4.17.21に更新されました。
Lodashの変更ログには、コマンドインジェクションの脆弱性に最新パッチが適用されたことが記載されています。
SENSITIVE DATA DISCLOSURE
関数wp_die()の出力データが特定の条件下でリークされる可能性が存在します。
詳細
2021年9月9日「WordPress 5.8.1」がリリースされました。
今回のアップデートは、3つの脆弱性に対応したものになります。
上記の脆弱性のうち2つは、CVE ID(CVE-2021-39200,CVE-2021-39201)が付与されております。
上記の脆弱性は、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」の基本値はそれぞれ「5.3」と「7.6」、重要度は「Medium」と「High」に評定されています。
WordPress開発チームは、今回のアップデートを短期間のセキュリティリリースと位置付け、5.4から5.8の間のWordPressバージョンに対してアップデートを用意しています。
自動更新設定されている方はすでに更新されていると思いますが、そのほかの方は手動での更新となりますので、早めの対応をお勧めします。
対応方法
セキュリティ対策版へアップデートする。
詳細は図表の通り。
| 現在ご利用のバージョン | 対策済みバージョン |
| 5.8 | 5.8.1 |
| 5.7~5.7.2 | 5.7.3 |
| 5.6~5.6.4 | 5.6.5 |
| 5.5~5.5.5 | 5.5.6 |
| 5.4~5.4.6 | 5.4.7 |
