先日、WordPress 4.2.2が利用可能になりました。
以前のすべてのバージョンに対する重大なセキュリティリリースとなります。
旧バージョンを利用している方はアップデートしておきましょう。
今回のバージョン4.2.2では2つのセキュリティの問題を解決しています。

  • 数多くの人気テーマやプラグインで使用されているGenericonsアイコンフォントのパッケージはクロスサイトスクリプティングの攻撃に脆弱なHTMLファイルを含んでいました。WordPress.orgでホストされている、すべての影響を受けるテーマとプラグイン(Twenty Fifteenデフォルトテーマを含む)は今日、WordPressセキュリティチームによって、この意味のないファイルを削除し、この問題を解決するためにアップデートされました。他のGenericonsの使用を保護するため、WordPress 4.2.2はこのHTMLファイルについてwp-contentディレクトリを率先してスキャンし、除去します。NetsparkerのRobert Abelaによって報告されました。
  • WordPressのバージョン4.2とそれ以前は匿名のユーザがサイトを危険にさらすことが可能な重大なクロスサイトスクリプティングの脆弱性の影響を受けます。WordPress 4.2.2はこの問題に対する包括的な修正を含みます。Rice AduとTong Shiによって報告されました。

このリリースはビジュアルエディターを使用している場合の潜在的なクロスサイトスクリプティング(XSS)の脆弱性への強化も含みます。
リリースノート
変更の一覧

コメントを投稿する

* が付いている項目は必須です。
メールアドレスが公開されることはありません。