WordPress 5.3.1 セキュリティとメンテナンスのリリース

以下は、Jb Audras が書いた WordPress.org 公式ブログの記事、「WordPress 5.3.1 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 5.3.1 が利用可能になりました。

これはセキュリティとメンテナンスのためのリリースです。46件の修正と改良が行われています。加えて多数のセキュリティ修正も加えられました。詳しくは下記のリストを参照してください。

WordPress 5.3.1 は短期のメンテナンスリリースです。次のメジャーリリースはバージョン5.4になる予定です。

WordPress 5.3.1 をダウンロードするにはこのページの上部にあるボタンをクリックします。または、管理画面メニュー「ダッシュボード」→「更新」から「今すぐ更新」をクリックします。

自動バックグラウンド更新をサポートしているサイトではすでに更新プロセスが始まっているでしょう。

セキュリティ更新

WordPress 5.3.1 では 5.3 以前のバージョンに影響する4件のセキュリティ問題が修正されています。5.3 より古いバージョンをお使いの場合でも、これらのセキュリティ修正が反映された更新バージョンがリリースされているので更新をお勧めします。

  • 権限のないユーザーに REST API 経由での先頭固定投稿を許してしまう問題 (Daniel Bachhuber による報告)。
  • 巧妙に手が加えられたリンクを用いたクロスサイトスクリプティング (XSS) 脆弱性の問題 (RIPS Technologies 所属 Simon Scannell による報告)。
  • WordPress.org セキュリティチームによる wp_kses_bad_protocol() の強化。これにより名前付きコロン属性が適切に処理される。
  • ブロックエディター本文を用いた格納型 XSS 脆弱性 (Nguyen The Duc による報告)。

メンテナンス更新

  • 管理画面: フォーム制御項目の高さと揃えの標準化 (開発ノート参照)、ダッシュボードウィジェットのリンクのアクセシビリティ、代替色スキームの可読性の問題 (開発ノート参照)。
  • ブロックエディター: Edge のスクロール問題と JavaScript の断続的問題の修正。
  • 同梱テーマ: カスタマイザーオプションの追加による執筆者情報の表示/非表示切替、JS ベースのスムーススクロールを CSS で置換 (開発ノート参照)、Instagram 埋め込み CSS を修正。
  • 日付/時刻: 非 GMT 日付の計算を改良、特定言語での日付フォーマット出力を修正、PHP のタイムゾーン変更に対してより弾力的な get_permalink()
  • 埋め込み: CollegeHumor を削除。oEmbed サービス提供元の廃止による。
  • 外部ライブラリ: sodium_compat の更新。
  • サイトヘルス: 管理者メールアドレス検証のリマインド間隔をフィルタリング可能に。
  • アップロード: ファイル名が重複した場合にサムネイルによって他の画像が上書きされないようにする。アップロード後のスケーリング対象から PNG 画像を除外する。
  • ユーザー: 管理者メールアドレス検証の際にサイトのロケールではなくユーザーのロケールを使用する。

詳細は Trac の変更リスト、並びに 5.3.1 の HelpHub ドキュメンテーションページを参照してください。

Thanks!

(訳注: WordPress 5.3.1 に携わった貢献者の一覧は元記事を参照してください。)