ニュース

「WordPress 4.9.2」XSS脆弱性を修正、Flash関連のプラグインを削除

 WordPressは16日、ブログツール「WordPress」のセキュリティアップデートとなるバージョン「4.9.2」を公開した。クロスサイトスクリプティング(XSS)の脆弱性1件や、21件の不具合などが修正されている。

 影響を受けるWordPressのバージョンは「3.7」以降すべて。利用者には早急なアップデートが推奨されている。

 XSS脆弱性は、WordPressの4.9以降が搭載しているライブラリ「MediaElement」に含まれる「Flash Fallbacks files」におけるもの。リリースノートでは、Flashは多くのユースケースで必要とされなくなっているため、プラグイン自体を削除したとしている。

 MediaElement自体は、脆弱性を修正した新バージョンがリリースされており、WordPressのプラグインページから追加可能となっている。

 修正された21件の不具合には、Firefoxでのポストした記事を保存できないJavaScriptのエラー、テーマを切り替える際にマップすべきサイドバーが存在しない場合に、以前のウィジェットの割り当てを復元しようとするものなどが含まれる。

 なお、「4.9.2」へは、自動更新を有効にしていれば自動的にアップデートされる。