以下は、Jake Spurlock が書いた WordPress.org 公式ブログの記事「WordPress 5.4.1」を訳したものです。
誤字脱字誤訳などありましたらフォーラムまでお知らせください。
WordPress 5.4.1 がご利用いただけるようになりました。
このセキュリティとメンテナンスのリリースには、7つのセキュリティ修正に加え、17のバグ修正が含まれています。セキュリティリリースですので、すぐにサイトを更新することをお勧めします。WordPress 3.7 以降のすべてのバージョンも更新されています。
WordPress 5.4.1 は短期サイクルのセキュリティとメンテナンスのリリースです。次のメジャーリリースはバージョン 5.5 となります。
WordPress 5.4.1 を入手するには WordPress.org からダウンロード、または、「ダッシュボード」→「更新」から「今すぐ更新」をクリックします。
自動バックグラウンド更新に対応しているサイトであれば、すでに更新プロセスが開始されています。
セキュリティ更新
7つのセキュリティの問題が WordPress 5.4 とそれ以前のバージョンに影響を与えています。5.4 への更新をまだ行っていない場合、3.7 以降のすべての WordPress バージョンでも以下のセキュリティ問題が修正されています。
- パスワードリセットトークンが適切に無効化されない問題(Muaz Bin Abdus Sattar と Jannes の個別報告)
- 特定のプライベートな投稿が認証されていない状態で閲覧できてしまう問題(ka1n4t の報告)
- カスタマイザーの XSS 問題(Evan Ricafort の報告)
- 検索ブロックの XSS 問題(WordPress セキュリティチーム Ben Bidner の報告)
wp-object-cacheの XSS 問題(WordPress VIP / WordPress セキュリティチーム Nick Daugherty の報告)- ファイルアップロードの XSS 問題(Ronnie Goodrich(Kahoots)と Jason Medeiros の個別報告)
- カスタマイザーに保存された XSS 脆弱性(Weston Ruter により修正)
- さらに WordPress 5.4 RC1 と RC2 のブロックエディターの認証済み XSS 問題(Nguyen The Duc(ducnt)の報告)が 5.4 RC5 で修正されました。WordPress をより安全にするために行われたすべての作業に対しクレジットと謝意を示したいと思います。
非公開で脆弱性情報を開示してくださった報告者の皆様、ありがとうございました。これにより、セキュリティチームは WordPress サイトが攻撃される前に脆弱性を修正する時間を得ることができました。
詳細については、Trac で変更点の全リストを参照するか、バージョン 5.4.1 の HelpHub ページを確認してください。
上記セキュリティ研究者の方々に加え、WordPress 5.4.1 にご協力いただいた皆様、ありがとうございました。
(訳注: 貢献者一覧は元記事を参照してください。)