WordPress、バージョン3.7-4.9.1でクロスサイトスクリプティング(XSS)の脆弱性。対策バージョン4.9.2リリース済み。

2018/1/16に、WordPress 4.9.2がセキュリティとメンテナンスのためリリースされました。

これは、WordPress 3.7以降のすべてのバージョンのセキュリティおよびメンテナンスリリースであり、脆弱性がある可能性があるのですぐにサイトを更新することをお勧めします。

 

脆弱性タイプ

・クロスサイトスクリプティング(XSS)

WordPressファイルに含まれている「MediaElement.js」においてクロスサイトスクリプティング(XSS)の脆弱性が発見されました。こちらは動画やオーディオを再生するためのライブラリになっております。脆弱性は「Flash」へのフォールバックを行うファイルに存在しており、過去にもセキュリティに関する問題が数多く発生していました。WordPress公式は需要も少なくなってきているとして、同じような機能をもつファイルを削除しております。

 

発見バージョン

・3.7-4.9.1

 

対応方法

セキュリティ対策版へアップデートする。

詳細は図表の通り。

現在ご利用のバージョン 対策済みバージョン
3.7~3.7.24 3.7.25
3.8~3.8.24 3.8.25
3.9~3.9.22 3.9.23
4.0~4.0.21 4.0.22
4.1~4.1.21 4.1.22
4.2~4.2.18* 4.2.19
4.3~4.3.14 4.3.15
4.4~4.4.13 4.4.14
4.5~4.5.12 4.5.13
4.6~4.6.9 4.6.10
4.7~4.7.8 4.7.9
4.8~4.8.4 4.8.5
4.9~4.9.1 4.9.2

※バージョン4.2と4.2.1と4.2.3に関しましては、4.9.2にアップデートすることを推進します。

各脆弱性によって対象のバージョンが異なりますのでご注意ください。

また今回のアップデートによって「Firefoxの投稿を保存できないJavaScriptエラー」等を含む21個のバグが修正されました。こちら、「MediaElement」もバージョンアップしてバグなどを取り除いております。

詳細はこちらにてご確認下さいませ。

自動更新設定されている方はすでに更新されていると思いますが、そのほかの方は手動での更新となりますので、早目の対応をお勧めします。

 

【参照】

WordPress 4.9.2 Security and Maintenance Release

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています