- 2019年9月18日
- WordPress脆弱性情報
WordPress、バージョン5.2.2以下で複数の脆弱性。対策バージョン5.2.3リリース済み。
WordPress5.2.2以下のバージョンには7つの脆弱性が存在しております。
脆弱性タイプ
①XSS
②XSS
③XSS
④XSS
⑤XSS
⑥REDIRECT
⑦XSS
発見バージョン
①バージョン1.0-5.2.2
②バージョン5.0-5.2.2
③バージョン5.2.2
④バージョン5.2.2
⑤バージョン5.2.2
⑥バージョン5.2.2
⑦不明
内容
①URLのサニタイズにおいてクロスサイトスクリプティング攻撃につながる可能性があります。
②WordPressで利用できるショートコードにおいてクロスサイトスクリプティングが発生する脆弱性。
③投稿者権限での投稿プレビュー後においてクロスサイトスクリプティングが発生する脆弱性。
④ある特定の条件において、WordPressのダッシュボードページで反射型のクロスサイトスクリプティングが発生する脆弱性。
⑤保存されたコメントにおいてクロスサイトスクリプティングが発生する脆弱性。
⑥URLのバリデーションとサニタイズにおいてオープンリダイレクトにつながる可能性があります。
⑦メディアアップロード中において反射型のクロスサイトスクリプティングが発生する脆弱性。
対応方法
セキュリティ対策版へアップデートする。
詳細は図表の通り。
| 現在ご利用のバージョン | 対策済みバージョン |
| 1.0~3.6.1 | 5.2.3 |
| 3.7~3.7.29 | 3.7.30 |
| 3.8~3.8.29 | 3.8.30 |
| 3.9~3.9.27 | 3.9.28 |
| 4.0~4.0.26 | 4.0.27 |
| 4.1~4.1.26 | 4.1.27 |
| 4.2~4.2.23 | 4.2.24 |
| 4.3~4.3.19 | 4.3.20 |
| 4.4~4.4.18 | 4.4.19 |
| 4.5~4.5.17 | 4.5.18 |
| 4.6~4.6.14 | 4.6.15 |
| 4.7~4.7.13 | 4.7.14 |
| 4.8~4.8.9 | 4.8.10 |
| 4.9~4.9.10 | 4.9.11 |
| 5.0~5.0.4 | 5.0.6 |
| 5.1~5.1.1 | 5.1.2 |
| 5.2~5.2.2 | 5.2.3 |
自動更新設定されている方はすでに更新されていると思いますが、そのほかの方は手動での更新となりますので、早目の対応をお勧めします。
WordPress5.2.3は、セキュリティとメンテナンスのリリースとなっており、29件のバグ修正とセキュリティ強化が施されました。
また、上記の脆弱性の修正のほかに、WordPress の古いバージョンの jQuery もアップデートされています。古い jQuery 自体にも脆弱性が存在していますので、最新のWordPressを使用することを推奨します。
