WordPress本体に3つの脆弱性。自動アップデートしていない方は急いで!!

昨日に、WordPress本体の脆弱性が3つ報告されました。

121086 2015-04-21 WordPress Unspecified XSS

WordPress contains a flaw that allows a cross-site scripting (XSS) attack. This flaw exists because the program does not validate input before returning it to users. This may allow a remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server.

121085 2015-04-21 WordPress Unspecified File Upload

WordPress contains an unspecified flaw that may allow an attacker to upload arbitrary files with invalid or unsafe names. No further details have been provided by the vendor.

121087 2015-04-21 WordPress Unspecified Limited XSS

WordPress contains a flaw that allows a limited cross-site scripting (XSS) attack. This flaw exists because the program does not validate input before returning it to users. This may allow a remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server.

いずれもメジャーな脆弱性ではありますが、なにしろWordPressの本体に関する脆弱性ですから、対象となるサイトがかなりの数に登ります。

Botがこういった脆弱性を探してwebを巡回してますので、対策が取られていないサイトは大変危険です。

 

この発表により、昨夜自動アップデートが走り、バージョン4.1.2がリリース、3番台を使っているサイトであれば3.9.4となったはずです。

ただし、用いているプラグインや、カスタマイズされた都合上、自動アップデートを切っている場合は脆弱性が放置された状態になっています。

転ばぬ先の杖、至急アップデートを!

 

LINEで送る
Pocket

こんな記事も読まれています