WordPress、バージョン4.9.4以下で複数の脆弱性。対策バージョン4.9.5リリース済み。

WordPress4.9.4以下のバージョンには3つの脆弱性が存在しております。

脆弱性タイプ

①UNKNOWN

②REDIRECT

③クロスサイトスクリプティング(XSS)

 

発見バージョン

①バージョン3.7-4.9.4

②バージョン3.7-4.9.4

③バージョン3.7-4.9.4

 

内容

①「wp_http_validate_url()」関数では、localhostが許可されている脆弱性。(localhostをhostとして扱えてしまう)

②HTTPS通信(SSL)が強制されている状態で、ログインページにリダイレクトした時、安全なリダイレクトがされていない脆弱性。(「wp_safe_redirect()」関数の使用が強制されていない)

③バージョンの文字列が「get_the_generator()」関数で正しくエスケープされていない脆弱性。

 

対応方法

セキュリティ対策版へアップデートする。

詳細は図表の通り。

現在ご利用のバージョン 対策済みバージョン
3.7~3.7.25 3.7.26
3.8~3.8.25 4.8.26
3.9~3.9.23 3.9.24
4.0~4.0.22 4.0.23
4.1~4.1.22 4.1.23
4.2~4.2.19 4.2.20
4.3~4.3.15 4.3.16
4.4~4.4.14 4.4.15
4.5~4.5.13 4.5.14
4.6~4.6.10 4.6.11
4.7~4.7.9 4.7.10
4.8~4.8.5 4.8.6
4.9~4.9.4 4.9.5

各脆弱性によって対象のバージョンが異なりますのでご注意ください。

自動更新設定されている方はすでに更新されていると思いますが、そのほかの方は手動での更新となりますので、早目の対応をお勧めします。

今回、WordPress 3.7以降のすべてのバージョンのセキュリティおよびメンテナンスリリースとなっており、3つのセキュリティ問題と25種類のバグが修正されました。
修正された内容についてはこちらをご覧ください。

 

【参照】

WordPress 4.9.5 Security and Maintenance Release

LINEで送る
Pocket

こんな記事も読まれています