- 2017年12月1日
- WordPress脆弱性情報
WordPress、バージョン4.9以下で複数の脆弱性。対策バージョン4.9.1リリース済み。
WordPress4.9.以下のバージョンには4つの脆弱性が存在しております。
脆弱性タイプ
①クロスサイトスクリプティング(XSS)
②UNKNOWN
③クロスサイトスクリプティング(XSS)
④バイパス(BYPASS)
発見バージョン
①バージョン4.3.0-4.9
②バージョン3.7-4.9
③バージョン1.5.0-4.9
④バージョン2.8.6-4.9
内容
①HTML Language Attribute Escaping
②’newbloguser’ Key Weak Hashing
③RSS and Atom Feed Escaping
④Authenticated JavaScript File Upload
対応方法
セキュリティ対策版へアップデートする。
詳細は図表の通り。
現在ご利用のバージョン | 対策済みバージョン |
1.5~3.6.1 | 4.9.1 |
3.7~3.7.23 | 3.7.24 |
3.8~3.8.23 | 3.8.24 |
3.9~3.9.21 | 3.9.22 |
4.0~4.0.20 | 4.0.21 |
4.1~4.1.20 | 4.1.21 |
4.2~4.2.17 | 4.2.18 |
4.3~4.3.13 | 4.3.14 |
4.4~4.4.12 | 4.4.13 |
4.5~4.5.11 | 4.5.12 |
4.6~4.6.8 | 4.6.9 |
4.7~4.7.7 | 4.7.8 |
4.8~4.8.3 | 4.8.4 |
4.9 | 4.9.1 |
各脆弱性によって対象のバージョンが異なりますのでご注意ください。
自動更新設定されている方はすでに更新されていると思いますが、そのほかの方は手動での更新となりますので、早目の対応をお勧めします。
今回、WordPress 3.7以降のすべてのバージョンのセキュリティおよびメンテナンスリリースとなっており、DDos攻撃等のマルチベクトル型攻撃に対する潜在的な脆弱性を塞ぎました。
【参照】