- 2019年11月26日
- WordPress脆弱性情報
WordPress、バージョン5.2.3以下で複数の脆弱性。対策バージョン5.2.4リリース済み。
WordPress5.2.3以下のバージョンには6つの脆弱性が存在しております。
脆弱性タイプ
①CSRF
②UNKNOWN
③SSRF
④XSS
⑤XSS
⑥BYPASS
発見バージョン
①バージョン5.2.3
②バージョン5.2.3
③バージョン5.2.3
④バージョン5.2.3
⑤バージョン5.2.3
⑥バージョン5.2.3
内容
①管理画面のリファラーの値を書き換えることによって、CSRFが行える脆弱性。
②”Vary:Origin”ヘッダーを介してJSONのGETリクエストにキャッシュポイズニングできる脆弱性。
③URLの検証方法において、SSRFが発生する脆弱性。
④カスタマイザー経由で格納型XSSが発生する可能性があります。
⑤JavaScriptをスタイルタグに挿入して発生させる格納型XSSの脆弱性。
⑥認証されていない投稿を表示する脆弱性。
対応方法
セキュリティ対策版へアップデートする。
詳細は図表の通り。
現在ご利用のバージョン | 対策済みバージョン |
1.0~3.6.1 | 5.2.4 |
3.7~3.7.30 | 3.7.31 |
3.8~3.8.30 | 3.8.31 |
3.9~3.9.28 | 3.9.29 |
4.0~4.0.27 | 4.0.28 |
4.1~4.1.27 | 4.1.28 |
4.2~4.2.24 | 4.2.25 |
4.3~4.3.20 | 4.3.21 |
4.4~4.4.19 | 4.4.20 |
4.5~4.5.18 | 4.5.19 |
4.6~4.6.15 | 4.6.16 |
4.7~4.7.14 | 4.7.15 |
4.8~4.8.10 | 4.8.11 |
4.9~4.9.11 | 4.9.12 |
5.0~5.0.6 | 5.0.7 |
5.1~5.1.2 | 5.1.3 |
5.2~5.2.3 | 5.2.4 |
自動更新設定されている方はすでに更新されていると思いますが、そのほかの方は手動での更新となりますので、早目の対応をお勧めします。
WordPress5.2.4は、セキュリティリリースとなっており、6件のセキュリティ修正が施されました。