WordPress、バージョン4.8.2以下にSQLインジェクションの可能性。対策バージョン4.8.3リリース済み。

2017/10/31に、WordPress 4.8.3がセキュリティリリースされました。

これは4.8.2以下すべてのバージョンのセキュリティリリースであり、脆弱性がある可能性があるのですぐにサイトを更新することをお勧めします。

WordPressの本体に関しては脆弱性の影響を直接受けないとされているが、プラグインやテーマなどで脆弱性が生じるおそれがあります。

 

脆弱性タイプ

・SQLインジェクション(SQLi)

データベース処理において、意図しない操作を防ぐために利用するwpdbクラスのprepareメソッド($ wpdb-> prepare ()) において、予期せぬクエリを作成して、プラグインとテーマが偶発的にSQLインジェクション(SQLI)を起こす可能性があります。

 

発見バージョン

・4.8.2以下すべて

 

対応方法

セキュリティ対策版へアップデートする。

詳細は図表の通り。

現在ご利用のバージョン 対策済みバージョン
2.3~3.6.1 4.8.3
3.7~3.7.22 3.7.23
3.8~3.8.22 3.8.23
3.9~3.9.20 3.9.21
4.0~4.0.19 4.0.20
4.1~4.1.19 4.1.20
4.2~4.2.16 4.2.17
4.3~4.3.12 4.3.13
4.4~4.4.11 4.4.12
4.5~4.5.10 4.5.11
4.6~4.6.7 4.6.8
4.7~4.7.6 4.7.7
4.8~4.8.2 4.8.3

各脆弱性によって対象のバージョンが異なりますのでご注意ください。

また今回のアップデートによって一部の関数(esc_sql () 関数)が変更されていますが、ほとんどのデベロッパーはこの影響を受けません。

詳細はデベロッパーノートにてご確認下さいませ。

自動更新設定されている方はすでに更新されていると思いますが、そのほかの方は手動での更新となりますので、早目の対応をお勧めします。

 

【参照】

WordPress 4.8.3 Security Release

LINEで送る
Pocket

こんな記事も読まれています