コンテンツマネジメントシステム(CMS)である「WordPress」は、セキュリティ上の問題を修正した「WordPress 4.9.1」をリリース。利用者に対し、早急にアップデートするよう勧めています。 WordPress 4.9 とそれ以前のバージョンは、マルチベクター攻撃の対象となり得る4つのセキュリティ問題がありました。4.9.1 には、次の修正が行われました。
●特定の部分文字列の代わりに、正しく生成されたハッシュを newbloguser キーに使用。
●html 要素の言語属性にエスケープ処理を追加。
●RSS と Atom フィードで enclosure の属性が正しくエスケープされていることを確認。
●unfiltered_html 権限を持たないユーザーの JavaScript ファイルのアップロード機能を削除。WordPress 4.9.1 では、その他に11個のバグが修正されました。
●テーマテンプレートファイルのキャッシュに関する問題。
●MediaElement の JavaScript エラーが特定言語のユーザーのファイルアップロードを阻害する問題。
●Windows ベースのサーバーでテーマとプラグインファイルが編集できない問題。更新は以下からも可能です。
WordPress 4.9.1 (日本語版) をダウンロード、または「ダッシュボード」 → 「更新」へ行き「今すぐ更新」をクリックしてください。自動バックグラウンド更新が有効なサイトでは、すでに WordPress 4.9.1 への自動更新が始まっています。
WordPressは世界で一番多く利用されているCMSです。そのため脆弱性が見つかるとサイバー攻撃も非常に早く行われます。自社の公式サイトや商用サイトでWordPress で構築されている場合は担当者、及び外部の運営者にて出きるだけ早く対応いただけるようにしてください。
詳細;WordPress
関連;弊社ではWebサイトに脆弱性が無いか、WordPressのバージョンが古くないかなどを診断するサービスをご提供しています。
⇒「Web脆弱性診断サービス」
PARTNER
