WordPress、バージョン4.9以下で複数の脆弱性。対策バージョン4.9.1リリース済み。

WordPress4.9.以下のバージョンには4つの脆弱性が存在しております。

脆弱性タイプ

①クロスサイトスクリプティング(XSS)

②UNKNOWN

③クロスサイトスクリプティング(XSS)

④バイパス(BYPASS)

 

発見バージョン

①バージョン4.3.0-4.9

②バージョン3.7-4.9

③バージョン1.5.0-4.9

④バージョン2.8.6-4.9

 

内容

①HTML Language Attribute Escaping

②’newbloguser’ Key Weak Hashing

③RSS and Atom Feed Escaping

④Authenticated JavaScript File Upload

 

対応方法

セキュリティ対策版へアップデートする。

詳細は図表の通り。

現在ご利用のバージョン 対策済みバージョン
1.5~3.6.1 4.9.1
3.7~3.7.23 3.7.24
3.8~3.8.23 3.8.24
3.9~3.9.21 3.9.22
4.0~4.0.20 4.0.21
4.1~4.1.20 4.1.21
4.2~4.2.17 4.2.18
4.3~4.3.13 4.3.14
4.4~4.4.12 4.4.13
4.5~4.5.11 4.5.12
4.6~4.6.8 4.6.9
4.7~4.7.7 4.7.8
4.8~4.8.3 4.8.4
4.9 4.9.1

各脆弱性によって対象のバージョンが異なりますのでご注意ください。

自動更新設定されている方はすでに更新されていると思いますが、そのほかの方は手動での更新となりますので、早目の対応をお勧めします。

今回、WordPress 3.7以降のすべてのバージョンのセキュリティおよびメンテナンスリリースとなっており、DDos攻撃等のマルチベクトル型攻撃に対する潜在的な脆弱性を塞ぎました。

 

【参照】

WordPress 4.9.1 Security Release

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています