WordPress、バージョン5.2.3以下で複数の脆弱性。対策バージョン5.2.4リリース済み。

WordPress5.2.3以下のバージョンには6つの脆弱性が存在しております。

脆弱性タイプ

①CSRF

②UNKNOWN

③SSRF

④XSS

⑤XSS

⑥BYPASS

発見バージョン

①バージョン5.2.3

②バージョン5.2.3

③バージョン5.2.3

④バージョン5.2.3

⑤バージョン5.2.3

⑥バージョン5.2.3

内容

①管理画面のリファラーの値を書き換えることによって、CSRFが行える脆弱性。

②”Vary:Origin”ヘッダーを介してJSONのGETリクエストにキャッシュポイズニングできる脆弱性。

③URLの検証方法において、SSRFが発生する脆弱性。

④カスタマイザー経由で格納型XSSが発生する可能性があります。

⑤JavaScriptをスタイルタグに挿入して発生させる格納型XSSの脆弱性。

⑥認証されていない投稿を表示する脆弱性。

対応方法

セキュリティ対策版へアップデートする。

詳細は図表の通り。

現在ご利用のバージョン 対策済みバージョン
1.0~3.6.1 5.2.4
3.7~3.7.30 3.7.31
3.8~3.8.30 3.8.31
3.9~3.9.28 3.9.29
4.0~4.0.27 4.0.28
4.1~4.1.27 4.1.28
4.2~4.2.24 4.2.25
4.3~4.3.20 4.3.21
4.4~4.4.19 4.4.20
4.5~4.5.18 4.5.19
4.6~4.6.15 4.6.16
4.7~4.7.14 4.7.15
4.8~4.8.10 4.8.11
4.9~4.9.11 4.9.12
5.0~5.0.6 5.0.7
5.1~5.1.2 5.1.3
5.2~5.2.3 5.2.4

自動更新設定されている方はすでに更新されていると思いますが、そのほかの方は手動での更新となりますので、早目の対応をお勧めします。

WordPress5.2.4は、セキュリティリリースとなっており、6件のセキュリティ修正が施されました。

【参照】WordPress 5.2.4 Security Release


\ この記事をシェアする /

こんな記事も読まれています