- 2015年4月22日
- WordPress脆弱性情報
WordPress本体に3つの脆弱性。自動アップデートしていない方は急いで!!
昨日、WordPress本体の脆弱性が3つ報告されました。
121086 | 2015-04-21 | WordPress Unspecified XSS | |||
WordPress contains a flaw that allows a cross-site scripting (XSS) attack. This flaw exists because the program does not validate input before returning it to users. This may allow a remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server. |
|||||
121085 | 2015-04-21 | WordPress Unspecified File Upload | |||
WordPress contains an unspecified flaw that may allow an attacker to upload arbitrary files with invalid or unsafe names. No further details have been provided by the vendor. |
|||||
121087 | 2015-04-21 | WordPress Unspecified Limited XSS | |||
WordPress contains a flaw that allows a limited cross-site scripting (XSS) attack. This flaw exists because the program does not validate input before returning it to users. This may allow a remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server. |
いずれもメジャーな脆弱性ではありますが、なにしろWordPressの本体に関する脆弱性ですから、対象となるサイトがかなりの数に登ります。
Botがこういった脆弱性を探してwebを巡回してますので、対策が取られていないサイトは大変危険です。
この発表により、昨夜自動アップデートが走り、バージョン4.1.2がリリース、3番台を使っているサイトであれば3.9.4となったはずです。
ただし、用いているプラグインや、カスタマイズされた都合上、自動アップデートを切っている場合は脆弱性が放置された状態になっています。
転ばぬ先の杖、至急アップデートを!