- 2018年4月4日
- WordPress脆弱性情報
WordPress、バージョン4.9.4以下で複数の脆弱性。対策バージョン4.9.5リリース済み。
WordPress4.9.4以下のバージョンには3つの脆弱性が存在しております。
脆弱性タイプ
①UNKNOWN
②REDIRECT
③クロスサイトスクリプティング(XSS)
発見バージョン
①バージョン3.7-4.9.4
②バージョン3.7-4.9.4
③バージョン3.7-4.9.4
内容
①「wp_http_validate_url()」関数では、localhostが許可されている脆弱性。(localhostをhostとして扱えてしまう)
②HTTPS通信(SSL)が強制されている状態で、ログインページにリダイレクトした時、安全なリダイレクトがされていない脆弱性。(「wp_safe_redirect()」関数の使用が強制されていない)
③バージョンの文字列が「get_the_generator()」関数で正しくエスケープされていない脆弱性。
対応方法
セキュリティ対策版へアップデートする。
詳細は図表の通り。
| 現在ご利用のバージョン | 対策済みバージョン |
| 3.7~3.7.25 | 3.7.26 |
| 3.8~3.8.25 | 4.8.26 |
| 3.9~3.9.23 | 3.9.24 |
| 4.0~4.0.22 | 4.0.23 |
| 4.1~4.1.22 | 4.1.23 |
| 4.2~4.2.19 | 4.2.20 |
| 4.3~4.3.15 | 4.3.16 |
| 4.4~4.4.14 | 4.4.15 |
| 4.5~4.5.13 | 4.5.14 |
| 4.6~4.6.10 | 4.6.11 |
| 4.7~4.7.9 | 4.7.10 |
| 4.8~4.8.5 | 4.8.6 |
| 4.9~4.9.4 | 4.9.5 |
各脆弱性によって対象のバージョンが異なりますのでご注意ください。
自動更新設定されている方はすでに更新されていると思いますが、そのほかの方は手動での更新となりますので、早目の対応をお勧めします。
今回、WordPress 3.7以降のすべてのバージョンのセキュリティおよびメンテナンスリリースとなっており、3つのセキュリティ問題と25種類のバグが修正されました。
修正された内容についてはこちらをご覧ください。
【参照】
