WordPress 5.5.2 セキュリティとメンテナンスのリリース

以下は、Jb Audras が書いた WordPress.org 公式ブログの記事「WordPress 5.5.2 Security and Maintenance Release」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress 5.5.2が利用可能になりました。

これはセキュリティとメンテナンスを目的としたリリースで、10件のセキュリティバグ修正に加えて14件のバグ修正が含まれます。これはセキュリティリリースのため、今すぐサイトを更新することをおすすめします。WordPress 3.7以降のすべてのバージョンも更新されています。

WordPress 5.5.2は、ショートサイクルセキュリティ & メンテナンスリリースです。次のメジャーリリースはバージョン5.6です。

WordPress 5.5.2 は、WordPress.org からダウンロードするか、「ダッシュボード→更新」を開いて、「今すぐ更新」をクリックしてください。

バックグラウンドの自動更新に対応しているサイトであれば、すでに更新作業が開始されています。

セキュリティ更新

WordPress 5.5.1以前のバージョンに影響するセキュリティの問題が10件ありました。5.5への更新がまだの方には、3.7以降のすべての WordPress バージョンも更新されており、以下のセキュリティ問題が修正されています。

  • WordPress セキュリティチームの Alex Concha には、非シリアライズ化リクエストの安全向上に取り組んでくれたことを感謝します。
  • マルチサイトネットワーク上の無効なサイトからのスパム埋め込みを無効化するための修正を行った David Binovec へ、ありがとう。
  • グローバル変数から XSS につながる可能性のある問題を報告してくれた Sucuri の Marc Montas に感謝します。
  • XML-RPC の特権昇格に関する問題を報告してくれた Justin Tran に感謝します。彼は、XML-RPC を利用した投稿コメントまわりの特権昇格に関する問題も発見し、開示してくれました。
  • DoS 攻撃が RCE につながる可能性のあるメソッドを報告してくれた Omar Ganiev へ、ありがとう。
  • 投稿スラッグに XSS を格納するメソッドを開示してくれた RIPS の Karim El Ouerghemmi に感謝します。
  • 任意のファイル削除につながる可能性のある保護されたメタを迂回するメソッドを報告してくれた Slavco と、確認してくれた Karim El Ouerghemmi に感謝します。
  • CSRF につながる可能性のあるメソッドを責任を持って開示してくれた WPScan の Erwan LR に感謝します。
  • そして、このリリースに不可欠な多くのリリースとパッチを提供してくれた @zieladam に特別な感謝を捧げます。

脆弱性を非公開で共有してくださった報告者の皆さんに感謝します。これにより、セキュリティチームは WordPress サイトが攻撃される前に脆弱性を修正する時間を確保することができました。

詳細については、Trac で変更点の全リストを閲覧するか、バージョン5.5.2のドキュメントページをチェックしてください。

感謝とクレジット

5.5.2リリースは @whyisjake と以下のリリースチームによって率いられました。@audrasjb、@davidbaumwald、@desrosj、@johnbillion、@metalandcoffee、@noisysocks、@planningwrite、@sarahricker、@sergeybiryukov。

上記のセキュリティ研究者とリリースチームのメンバーに加え、WordPress 5.5.2の公開を助けてくれたすべての人に感謝します。

Aaron JorbinAlex ConchaAmit DudhatAndrey “Rarst” SavchenkoAndy FragenAyesh KarunaratnebridgetwillardDaniel RichardsDavid BaumwaldDavis Shaverdd32Florian TIARHareeshHugh LashbrookeIan DunnIgor RadovanovJake SpurlockJb AudrasJohn BlackbournJonathan DesrosiersJon BrownJoyJuliette Reinders Folmerkellybleckmailnew2sterMarcus KazmierczakMarius L. J.Milan DinićMohammad JangdaMukesh PanchalPaal Joachim RomdahlPeter WilsonRegan KhadgiRobert AndersonSergey BiryukovSergey YakimovSyed Balkhiszaqal21TellyworthTimi WahalahtiTimothy JacobsTowhidul I. ChowdhuryVinayak Anivasezieladam.