ニュース

WordPressが「4.8.2」にアップデート、5件のXSS脆弱性、2件のパストラバーサル脆弱性などを修正

 WordPressは19日、ブログツール「WordPress」のセキュリティアップデートとなるバージョン「4.8.2」を公開した。クロスサイトスクリプティング(XSS)の脆弱性5件や、SQLインジェクションに結びつく問題などが修正されている。

 影響を受けるWordPressのバージョンは「4.8.1」以前。利用者には早急なアップデートが推奨されている。

 SQLインジェクションは、wpdbクラスのprepareメソッドにおいて、プラグインやテーマにより安全でないクエリが作成されることで、偶然引き起こされるおそれがあるという。WordPressコアに直接の脆弱性はないものの、これに対する防護策が追加されている。

 XSS脆弱性は、1)oEmbedディスカバリー、2)ビジュアルエディタ、3)プラグインエディタ、4)テンプレート名、5)リンクモーダルのそれぞれにあり、すべて修正されている。

 このほか、1)ファイルのunzipコード、2)カスタマイザーにおけるパストラバーサル脆弱性2件と、ユーザーおよびターム編集画面におけるオープンリダイレクトについても修正されている。

 なお、「4.8.2」へは、自動更新を有効にしていれば自動的にアップデートされる。