WordPress 脆弱性とバージョン推移

WordPressサイトに運営に必要なバージョンアップversion 5.4.2
WordPressサイトに運営に必要なバージョンアップ

WordPress 脆弱性とバージョン推移

WordPress 5.4.2LastUpdate:2020/06/11

WordPressは、積極的に保守されている5.n系統の最新版以外の以下のバージョンは、安全に使用することはできません。

5.n系統と書いたのには理由があります。(WordPress.org公式サイトで変更される)

クリックWordPress.orgでの最新情報を見ることができます

WordPressは、世界中のWebサイトの33%以上、日本では82%以上と異常なまでの人気を誇っています。(2019/06時点、全CMS利用の60%を占めています)

2017年の月から月にかけて、全世界155万超WordPressサイト改ざんされる

というセキュリティ事故がありました。

(これは、バージョン4.74.7.1のAPIの脆弱性が狙われました)


それ以降も常に脆弱性が発見され攻撃され続けています。


WordPress.orgは、 脆弱性が見つかる都度バージョンアップを繰り返しています。


WordPressの特徴的な1つとして、機能アップのためのバージョンアップより、脆弱性不都合(バグ)に対応する為のバージョンアップ(セキュリティメンテナンス)の方が遥かに多いのです。

あなたのホームページは大丈夫でしょうか?

筆者は、最新版で、テーマCocoonで運用を再開しました

今後、WordPress関連は、このサイトに記載(移行)して行きます。

 ここのサイトのメインテーマはセキュリティ対策で、Pluginでの対策・ほかをお伝えしいます。

 今回はWordPress脆弱性バージョンアップ推移をお伝えします。

.別途Mainサイトをconcrete5で運用しています。

WordPress
wordpress

WordPressは、積極的に保守されている5.4系統の最新版以外の以下のバージョンは、安全に使用することはできません。

あなたのホームページのWordPressは大丈夫でしょうか?

Verリリース脆弱性と対応内容・バージョン推移
5.4.220/06/10セキュリティ(6つの問題点)&メンテナンスリリース(23の修正)
  これはセキュリティリリースであるため、
 すぐにサイトを更新することをお勧めします。
1. 権限の低い認証済みユーザーがブロックエディタの投稿で
  JavaScriptを追加できるXSS問題
2. アップロード権限を持つユーザーがメディアファイルに
  JavaScriptを追加できるXSS問題
3. wp_validate_redirect() のオープンリダイレクトの問題
4. テーマアップロードで認証済みXSSの問題
5. セットスクリーンオプション(set-screen-option)が
  プラグインによって悪用されて権限昇格されうる問題
6. 特定の条件下で、パスワード保護された
  投稿やページのコメントが表示されうる問題
(※.4.1ブランチ:version 4.1.31まで対応2020/06/11公開)
5.4.120/04/29WordPress 5.4.1 このセキュリティおよびメンテナンスリリースには、
7つのセキュリティ修正(Version5以降は8つ)に加えて17のバグ修正が含まれています。
(※.4.1ブランチ:version4.1.30まで対応公開)
1. パスワードリセットトークンが適切に無効化されない問題。
2. 特定の非公開の投稿が認証されずに表示される可能性がある問題。
3. カスタマイザーでXSSの問題
4. 検索ブロックでXSSの問題
5. wp-object-cacheでXSSの問題
6. ファイルのアップロードでXSSの問題
7. WordPressカスタマイザの保存されたXSS脆弱性

8. ブロックエディタの認証されたXSSの問題は、WordPress 5以降。
5.420/03/315.4ブランチ メジャーバージョン アップ
ブロックを使って、よりリッチに、速く、簡単に構築。
2つの新しいブロック(「ソーシャルアイコン」と「(複数追加可能な) ボタン」)追加。そしてあらゆるブロックの改善。
Nat Adderley:ナット・アダレイは、トランペット奏者
(本名Nathaniel Adderley。アメリカ合衆国のジャズ・コルネット奏者。
ファンキー・ジャズを代表する奏者の一人。
キャノンボール・アダレイという愛称で有名なサックス奏者。 ウィキペディア
5.3.320/04/29WordPress 5.3.3 このセキュリティおよびメンテナンスリリースには、
7つのセキュリティ修正(Version5以降は8つ)に加えて17のバグ修正
(詳細は、5.4.1の項を参照願います)
5.3.220/01/02メンテナンス リリース 5件の修正と改良
ホームページの存在3つを確認2020/03/10
5.3.119/12/13セキュリティ+メンテナンス リリース
5.3 以前のバージョンに影響する4件のセキュリティ問題修正
1.権限のないユーザーにREST API 経由での先頭固定投稿を許してしまう問題
2.巧妙に手が加えられたリンクを用いた
クロスサイトスクリプティング (XSS) 脆弱性の問題
3.WordPress.org セキュリティチームによるwp_kses_bad_protocol (文字列のサニタイズ(フォームにHTMLやプログラミングコード、無効な記号などが入力されたとしても、それらを無効にしてフォームプログラムの予期せぬ動作を未然に防ぐ処置)を行う関数)の 強化
4.ブロックエディター本文を用いた格納型XSS 脆弱性
5.319/11/13メジャーバージョン アップ
ブロックエディターを拡張、洗練させ、より直感的な操作感と改善されたアクセシビリティを実現。
新しいデフォルトテーマTwentyTwentyによって、デザインの柔軟性とブロックエディターとの統合が実現
Rahsaan Roland Kirk:ラサーン・ローランド・カーク: ミュージシャン
ローランド・カークは、アメリカの黒人のジャズ・ミュージシャンの一人。
盲目でありながらサクソフォンやフルート、トランペット、オーボエ、ピッコロ、イングリッシュホルン、リリコンなど、多種多様な管楽器を演奏した。 ウィキペディア
5.2.720/06/115.4.2の項を参照
5.2.620/04/29WordPress 5.2.6 このセキュリティおよびメンテナンスリリースには、
7つのセキュリティ修正(Version5以降は8つ)に加えて17のバグ修正
(詳細は、5.4.1の項を参照願います)
5.2.519/12/13セキュリティリリース
以前のバージョンに影響する4件のセキュリティ問題修正
1.権限のないユーザーにREST API 経由での先頭固定投稿を許してしまう問題
2.巧妙に手が加えられたリンクを用いた
クロスサイトスクリプティング (XSS) 脆弱性の問題
3.WordPress.org セキュリティチームによるwp_kses_bad_protocol (文字列のサニタイズ(フォームにHTMLやプログラミングコード、無効な記号などが入力されたとしても、それらを無効にしてフォームプログラムの予期せぬ動作を未然に防ぐ処置)を行う関数)の 強化
4.ブロックエディター本文を用いた格納型XSS 脆弱性
ホームページの存在3つを確認2020/03/10
5.2.419/10/15セキュリティ リリース
クロスサイトスクリプティング(XSS) 脆弱性対応を含む
6件のセキュリティ問題を修正
(WordPress バージョン5.2.3以前のバージョンで影響を受けます。
まだ5.2にアップデートしていないユーザーのために WordPress 5.1以前のバージョンでもアップデートが利用可能)
1.格納型XSS(クロスサイトスクリプティング)がカスタマイザー経由で追加される可能性の問題。
2.認証されていない投稿を表示する。
3.JavaScriptをスタイルタグに挿入する格納型XSSの作成方法を発見。
4.Vary: Origin ヘッダーを介して JSON GETリクエストのキャッシュをポイズニングする方法。
5.URLの検証方法でサーバーサイドリクエストフォージェリを発見。
6.管理画面のリファラーバリデーションに関連する問題。
5.2.319/09/05セキュリティ リリース
1.複数のクロスサイトスクリプティング(XSS) 脆弱性 対応。
2.オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。
3. 5.0とそれ以前のバージョンにもアップデートされたバージョンがあります。
※.WordPress の古いバージョンの jQuery をアップデートしています。
この変更は5.2.1で加えられたもので、
今回、4.1ブランチまでの古いバージョンへも反映 されました
メンテナンス リリース:29個のバグ修正
5.2.219/07/24メンテナンス リリース:13個のバグを修正
5.2.119/05/225.2.1は 5.2の機能の改善と33件のバグを修正しています。
5.219/05/19メジャーバージョン:5.2ブランチ(5.2系)
Jaco Pastorius:ジャコ・パストリアス: ベーシスト
ジャコ・パストリアス は、ジャズとフュージョンのエレクトリックベース・プレーヤー及び作編曲家。
1970年代半ばに頭角を現し、1975年にはパット・メセニーの初リーダー作に参加、
翌1976年にはファースト・ソロ・アルバム『ジャコ・パストリアスの肖像』を発表すると共にウェザー・リポートにベーシストとして参加。 ウィキペディア
5.1.620/06/115.4.2の項を参照
5.1.520/04/29WordPress 5.1.5 このセキュリティおよびメンテナンスリリースには、
7つのセキュリティ修正(Version5以降は8つ)に加えて17のバグ修正
(詳細は、5.4.1の項を参照願います)
5.1.419/12/13 セキュリティリリース
以前のバージョンに影響する4件のセキュリティ問題修正
ホームページの存在を確認2020/03/10
Jaco Pastorius:ジャコ・パストリアス: ベーシスト
ジャコ・パストリアス は、ジャズとフュージョンのエレクトリックベース・プレーヤー及び作編曲家。
1970年代半ばに頭角を現し、1975年にはパット・メセニーの初リーダー作に参加、
翌1976年にはファースト・ソロ・アルバム『ジャコ・パストリアスの肖像』を発表すると共にウェザー・リポートにベーシストとして参加。 ウィキペディア
5.1.319/11/13 (2019/10/14:バージョン5.2.4で修正された以下の6個のバグの影響を受けます。
1.保存されたXSS(クロスサイトスクリプティング)がカスタマイザを介して追加される可能性のある問題。
2.認証されていない投稿を表示する。
3.保管されたXSSを作成してJavascriptをスタイルタグに挿入する方法。
4.Vary:Originヘッダーを介してJSON GETリクエストのキャッシュをポイズニングするメソッドを強調する。
5.URLが検証される方法でサーバー側のリクエスト偽造を発見。
6.管理者のリファラー検証に関連する問題。
5.1.219/09/05 セキュリティ リリース
1. 複数のクロスサイトスクリプティング(XSS) 脆弱性対応。
2.オープンリダイレクトに繋がりうるURLのバリデーションとサニタイズの問題。
3.WordPress の古いバージョンの jQuery をアップデートしています。
この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
5.1.119/05/11コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース 
ホームページの存在を確認
5.119/03/11メジャーバージョン:エディター全体のパフォーマンスの向上(5.1系)
1.クロスサイトリクエストフォージェリの脆弱性(情報を取得される、
2.情報を改ざんされる、および
3.サービス運用妨害 (DoS) 状態にされる可能性)5.1.1 未満 JVN脆弱性対策情報データベース
Betty Carter:ベティカーター: 歌手
ベティ・カーターは、即興のテクニック、スキャッティング、その他の複雑な音楽的能力で知られるアメリカのジャズ歌手であり、ボーカルの才能と歌詞とメロディーの想像力豊かな解釈を示しました。
ボーカリストのCarmen McRaeはかつて次のように述べました。「ジャズシンガーは本当に1人しかいません。 ウィキペディア
5.0.1020/06/115.4.2の項を参照
5.0.920/04/29WordPress 5.0.9 このセキュリティおよびメンテナンスリリースには、
7つのセキュリティ修正(Version5以降は8つ)に加えて17のバグ修正
(詳細は、5.4.1の項を参照願います)
5.0.819/12/13 セキュリティ リリース
以前のバージョンに影響する 4件のセキュリティ問題修正
1.権限のないユーザーにREST API 経由での先頭固定投稿を許してしまう問題
2.巧妙に手が加えられたリンクを用いた
クロスサイトスクリプティング (XSS) 脆弱性の問題
3.WordPress.org セキュリティチームによるwp_kses_bad_protocol (文字列のサニタイズ(フォームにHTMLやプログラミングコード、無効な記号などが入力されたとしても、それらを無効にしてフォームプログラムの予期せぬ動作を未然に防ぐ処置)を行う関数)の 強化
4.ブロックエディター本文を用いた格納型XSS 脆弱性
ホームページの存在3つを確認2020/03/10
5.0.719/11/13 (2019/10/14:バージョン5.2.4で修正された以下の6個のバグの影響を受けます。
1.保存されたXSS(クロスサイトスクリプティング)がカスタマイザを介して追加される可能性のある問題。
2.認証されていない投稿を表示する。
3.保管されたXSSを作成してJavascriptをスタイルタグに挿入する方法。
4.Vary:Originヘッダーを介してJSON GETリクエストのキャッシュをポイズニングするメソッドを強調する。
5.URLが検証される方法でサーバー側のリクエスト偽造を発見。
6.管理者のリファラー検証に関連する問題。)
5.0.619/09/05セキュリティ リリース
1.複数のクロスサイトスクリプティング(XSS) 脆弱性対応。
2.オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。
3.WordPress の古いバージョンの jQuery をアップデートしています。
この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
5.0.5無し
5.0.419/04/09コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
5.0.319/03/13 37個のバグ修正リリース
 パストラバーサルの脆弱性が存在(情報を改ざんされる可能性があります。)5.0.3まで JVN脆弱性対策情報データベース
5.0.219/01/0973個のバグに取り組むメンテナンス リリース
ホームページの存在を確認
5.0.118/12/183.7以降のすべてのバージョンに対する セキュリティ リリース
1.XSS:クロスサイトスクリプティング、
2.権限外の操作を行える、
3.個人情報が漏れる可能性があるなどの 脆弱性に対応)
ホームページの存在を確認2020/03/10
5.018/12/10 メジャーバージョン( 下位からの自動バージョンアップ無し
5.0ブランチ(5.0統)
1.コードインジェクションの脆弱性(情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性)が存在、
2.信頼性のないデータのデシリアライゼーションに関する脆弱性(情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性)が存在、
3.アクセス制御に関する脆弱性(情報を改ざんされる可能性)、
4.クロスサイトスクリプティングの脆弱性(情報を取得される、および情報を改ざんされる可能性)、
5.入力確認に関する脆弱性、情報漏えいに関する脆弱性、 (5.0.1 未満の 5.x)JVN脆弱性対策情報データベース
ホームページの存在を確認2020/03/10
Bebo Valdés:ベボバルデス: ピアニスト
Dionisio RamónEmilio ValdésAmaroは、キューバのピアニスト、バンドリーダー、作曲家、アレンジャーでした。
彼はキューバ音楽の黄金時代の中心人物でした。 ウィキペディア
4.9.1520/06/115.4.2の項を参照
4.9.1420/04/29WordPress 4.9.14 このセキュリティおよびメンテナンスリリースには、
7つのセキュリティ修正に加えて17のバグ修正
(詳細は、5.4.1の項を参照願います)
4.9.1319/12/13セキュリティ リリース
以前のバージョンに影響する 3件のセキュリティ問題修正
1.権限のないユーザーに REST API 経由での先頭固定投稿を許してしまう問題
2.巧妙に手が加えられたリンクを用いたクロスサイトスクリプティング (XSS) 脆弱性の問題
3.WordPress.org セキュリティチームによる wp_kses_bad_protocol() の強化。これにより名前付きコロン属性が適切に処理される。
ホームページの存在4つを確認2020/03/10
4.9.1219/11/13ホームページの存在を確認2020/03/10
4.9系最終4.9.15(20/06/11)
(2019/10/14:バージョン5.2.4で修正された以下の6個のバグの影響を受けます。
1.保存されたXSS(クロスサイトスクリプティング)が
カスタマイザを介して追加される可能性のある問題。
2.認証されていない投稿を表示する。
3.保管されたXSSを作成してJavascriptをスタイルタグに挿入する方法。
4.Vary:Originヘッダーを介してJSON GETリクエストのキャッシュをポイズニングするメソッドを強調する。
5.URLが検証される方法でサーバー側のリクエスト偽造を発見。
6.管理者のリファラー検証に関連する問題。)
4.9.1119/09/05 セキュリティ リリース
1.複数のクロスサイトスクリプティング(XSS) 脆弱性 対応。
2.オープンリダイレクトに繋がりうる
URL のバリデーションとサニタイズの問題。
3.WordPress の古いバージョンの jQuery をアップデートしています。
この変更は5.2.1で加えられたもので、
今回、古いバージョンへも反映されました。
4.9.1019/03/13コメントをフィルタ処理してデータベースに格納する方法を処理するための
セキュリティ リリース 
ホームページの存在を確認
4.9.919/03/133.7以降のすべてのバージョンに対するセキュリティ リリース
1.XSS:クロスサイトスクリプティング、
2.権限外の操作を行える、
3.個人情報が漏れる可能性があるなどの 脆弱性に対応)
4.9.818/08/0218のプライバシー関連の修正と改善対応
1.コードインジェクションの脆弱性(情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性)が存在、
2.信頼性のないデータのデシリアライゼーションに関する脆弱性(情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性)が存在、
3.アクセス制御に関する脆弱性(情報を改ざんされる可能性)、
4.クロスサイトスクリプティングの脆弱性(情報を取得される、および情報を改ざんされる可能性)、
5.入力確認に関する脆弱性、情報漏えいに関する脆弱性、
(5.0.1 未満の 5.x)
JVN脆弱性対策情報データベース
4.9.718/07/053.7以降4.9.6以前に存在した脆弱性対応(ファイルの編集・削除の脆弱性)
(それぞれの系では同以下が対応:4.8.8、4.7.12、4.6.13、4.5.16、4.4.17、4.3.18、4.2.22、4.1.25、4.0.24、3.9.25、3.8.27、3.7.27
4.9.618/05/17プライバシー・メンテナンス リリース(プライバシーとメンテナンスについて37件の拡張、51件の問題の修正)WordPress 4.9.6およびそれ以前のバージョンは1件のセキュリティ問題の影響を受けます。WordPress 4.9.6およびそれ以前のバージョンはファイル削除に関する問題の影響を受けます。これはメディアファイルの編集と削除の権限を持つユーザーが、メディアのメタデータを潜在的に操作できるという問題です。これにより uploads ディクレトリの外にあるファイルの削除を試みることができてしまいます。
4.9.518/04/033.7以降のすべてのバージョンに対するセキュリティ リリース
WordPress 4.9.4およびそれ以前のバージョンは3件のセキュリティ問題の影響を受けます。WordPress 4.9.5では以下の問題が修正されました。
(1)デフォルトで localhost を同じホストとして扱わない。
(2)SSL が強制されている場合に、ログインページのリダイレクトに安全なリダイレクトを使用する。
(3)ジェネレータータグでバージョン文字列が正しくエスケープされていることを確認する。
4.9.418/02/064.9.4以下(3.7-4.9.4)で複数の脆弱性。対策バージョン4.9.5
4.9.318/02/05重大・深刻なバグ:4.9の34件の問題を修正、
4.9.4へ自動バージョンアップされない問題も発覚
(4.9.3は自動バックグラウンド更新を有効化したサイトで、
自動更新に失敗します。
手動でバージョン 4.9.4 に更新する必要があります。)
4.9.218/01/16セキュリティ リリース 4.9 およびそれ以前のバージョン に含まれるライブラリー MediaElement 4.x の Flash 代替ファイルによるXSSの脆弱性対応リリース
ホームページの存在を確認2020/03/10
4.9系最終4.9.15(20/06/11)数多くの脆弱性対応
4.9.117/11/29セキュリティ リリース 4.9 およびそれ以前のバージョンは4件の潜在的にマルチベクトル型攻撃の一部として機能し得るセキュリティ問題の影響への対応
4.917/11/17大規模なカスタマイザーの改善、コードエラーのチェック(4.9系)
Billy Tipton:ビリー・ティプトン: ミュージシャン
ビリー・ティプトンは、アメリカのジャズミュージシャン、バンドリーダー、そしてタレントブローカーでした。 ウィキペディア
4.8.1420/06/115.4.2の項を参照
4.8.1320/04/29WordPress 4.8.13 このセキュリティおよびメンテナンスリリースには、
7つのセキュリティ修正に加えて17のバグ修正
(詳細は、5.4.1の項を参照願います)
4.8.1219/12/13セキュリティ リリース 以前のバージョンに影響する3件のセキュリティ問題修正
4.8.1119/11/13 (2019/10/14:バージョン5.2.4で修正された以下の6個のバグの影響を受けます。
1.保存されたXSS(クロスサイトスクリプティング)がカスタマイザを介して追加される可能性のある問題。
2.認証されていない投稿を表示する。
3.保管されたXSSを作成してJavascriptをスタイルタグに挿入する方法。
4.Vary:Originヘッダーを介してJSON GETリクエストのキャッシュをポイズニングするメソッドを強調する。
5.URLが検証される方法でサーバー側のリクエスト偽造を発見。
6.管理者のリファラー検証に関連する問題。)
4.8.1019/09/05セキュリティ リリース
複数のクロスサイトスクリプティング(XSS)脆弱性対応。オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
4.8.919/03/13コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース 
ホームページの存在を確認
4.8.819/03/133.7以降のすべてのバージョンに対するセキュリティ リリース
4.8.718/12/03ホームページの存在を確認
WordPress 4.9.6およびそれ以前のバージョンは1件のセキュリティ問題の影響を受けます。
WordPress 4.9.7では以下の問題が修正されました。
1.WordPress 4.9.6およびそれ以前のバージョンはファイル削除に関する問題の影響を受けます。
これはメディアファイルの編集と削除の権限を持つユーザーが、メディアのメタデータを潜在的に操作できるという問題です。
これにより uploads ディクレトリの外にあるファイルの削除を試みることができてしまいます。
2.タクソノミー: タームのクエリにおけるキャッシュの扱い方を改良。
3.投稿、投稿タイプ: ログアウトするとき投稿パスワードのクッキーを消去。
4.ウィジェット: ウィジェット管理画面でサイドバーの説明に基本的な HTML タグを使用可能。
5.コミュニティイベントダッシュボード: 最寄りの WordCamp が開催される予定があれば、その前に複数の Meetup が開催されるときでも WordCamp を表示。
6.プライバシー: 管理画面ではないコンテキストにおいてリライトルールをフラッシュしたとき、デフォルトのプライバシーポリシーの内容が致命的なエラーを起こさないようにする。)
4.8.618/04/04(2018/04/04 WordPress 4.9.5リリース告知によると、
WordPress 4.9.4およびそれ以前のバージョンは3件のセキュリティ問題
の影響を受けます。
WordPress 4.9.5では以下の問題が修正されました。
1.デフォルトで localhost を同じホストとして扱わない。
2.SSL が強制されている場合に、ログインページのリダイレクトに安全なリダイレクトを使用する。
3.ジェネレータータグでバージョン文字列が正しくエスケープされていることを確認する。)
4.8.518/03/13
WordPress 4.9 およびそれ以前のバージョンは
  MediaElement 4.x の Flash 代替ファイルによる
XSS の脆弱性にさらされています。
このリリースには以下の修正が含まれています。
1.アップグレード: 古いファイルを削除する際、失敗したら中身を空にする
2.外部ライブラリー: 不要な MediaElement.js ファイルを削除する)
4.8.4無し
4.8.317/11/01セキュリティ リリース WordPress 4.8.2 以前のバージョンにおいて、
$wpdb->prepare() が本来想定しない安全でないクエリーを出力する問題が確認され、
この問題がSQL インジェクション (SQLi) に利用される可能性があります。
ホームページの存在を確認
4.8.217/09/25WordPress 4.8.2およびそれ以前のバージョンは、$wpdb->prepare()がSQLインジェクション(SQLI)につながる予期しない危険なクエリを作成する可能性がある、という問題の影響を受けています。
4.8.117/08/07 
4.817/06/23ユーザーを念頭に置いたアップデート(4.8系)
4.7.1820/06/115.4.2の項を参照
ホームページの存在を確認(2020/06/16)KZ
4.7.1720/04/29WordPress 4.7.17 このセキュリティおよびメンテナンスリリースには、
7つのセキュリティ修正に加えて17のバグ修正
(詳細は、5.4.1の項を参照願います)
4.7.1619/12/13セキュリティリリース 以前のバージョンに影響する3件のセキュリティ問題修正
4.7.1319/03/13コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
4.7.1219/03/133.7以降のすべてのバージョンに対するセキュリティ リリース 
ホームページの存在を確認
4.7.1118/11/01 
4.7.1018/04/04 
4.7.918/03/13 
4.7.8
4.7.717/10/31 
4.7.6
4.7.517/05/18セキュリティ リリース:WordPress 4.7.5 では WordPress 4.7 系列に対する4件のメンテナンス修正
4.7.417/04/22WordPress 4.7.4 とそれ以前のバージョンは6件のセキュリティ問題の影響を受けます。
(1)HTTP クラスにおける不十分なリダイレクト妥当性確認。
(2)XML-RPC API における投稿メタデータ値の不適切な操作。
(3)XML-RPC API 投稿メタデータ操作における権限確認の不足。
(4)ファイルシステム認証情報ダイアログに見つかったクロス サイト リクエスト フォージェリ (CRSF) 脆弱性。
(5)非常に大きいファイルのアップロードを試みた際に見られるクロス サイト スクリプティング (XSS) 脆弱性。
(6)Customizer 関連のクロス サイト スクリプティング (XSS) 脆弱性。
4.7.317/03/07WordPress 4.7.3 では 4.7 リリースシリーズに対する39件のメンテナンス修正が実施されています。

WordPress 4.7.2 およびそれ以前のバージョンは6件のセキュリティ問題の影響を受けます。
(1)メディアファイルのメタデータを介したクロス サイト スクリプティング (XSS) 脆弱性。
(2)制御文字を利用したリダイレクト URL 検証回避の可能性。
(3)プラグイン削除を行う機能を利用して管理者による意図しないファイル削除が実行される可能性
(4)YouTube 動画埋め込み URL を介したクロス サイト スクリプティング (XSS) 脆弱性。
(5)タクソノミーのターム名を介したクロス サイト スクリプティング (XSS) 脆弱性。
(6)Press This におけるクロス サイト リクエスト フォージェリ (CSRF) によりサーバーリソースの過剰利用が引き起こされる問題。
4.7.217/01/294.74.7.1のREST APIの脆弱性に対するセキュリティリリース 
ホームページの存在を確認2020/03/10
4.7系最終4.7.18(20/06/11)数多くの脆弱性対応
4.7.117/01/124.74.7.1REST APIに対する脆弱性攻撃で
155万以上のサイト改ざんされる
セキュリティ事故が発生
4.716/12/07REST-APIの採用。サイトのセットアップが思いのままに実現できる
4.74.7.1REST APIに対する脆弱性攻撃で
155万以上のサイト改ざんされる
セキュリティ事故が発生
ホームページの存在を確認2020/03/10
4.6.1920/06/115.4.2の項を参照
4.6.1820/04/29WordPress 4.6.18 このセキュリティおよびメンテナンスリリースには、
7つのセキュリティ修正に加えて17のバグ修正
(詳細は、5.4.1の項を参照願います)
4.6.1719/12/13セキュリティ リリース 以前のバージョンに影響する3件のセキュリティ問題修正
4.6.1519/09/05セキュリティ リリース 
(1)複数のクロスサイトスクリプティング(XSS)脆弱性対応。
(2)オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  
(3)WordPress の古いバージョンの jQuery をアップデートしています。
この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
4.6.1419/03/13コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
4.6.1319/03/133.7以降のすべてのバージョンに対するセキュリティ リリース
4.6.1218/11/01 
4.6.1118/05/18 
4.6.817/10/31 
4.6.116/09/10 
4.616/08/17同じページ内でプラグインやテーマの更新、インストール、削除が可能(4.6系) 
ホームページの存在を確認
4.5.2220/06/115.4.2の項を参照
4.5.2120/04/29WordPress 4.5.21 このセキュリティおよびメンテナンスリリースには、
7つのセキュリティ修正に加えて17のバグ修正
(詳細は、5.4.1の項を参照願います)
4.5.2019/12/13セキュリティ リリース 以前のバージョンに影響する3件のセキュリティ問題修正 
ホームページの存在を確認2020/03/10
4.5.1819/09/05セキュリティ リリース
(1)複数のクロスサイトスクリプティング(XSS)脆弱性対応。
(2)オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  
(3)WordPress の古いバージョンの jQuery をアップデートしています。
この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
4.5.1719/03/13コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
4.5.1619/01/083.7以降のすべてのバージョンに対するセキュリティ リリース
4.5.1518/11/01 
4.5.1418/04/04 
4.5.1318/03/13 
4.5.316/06/22 
4.5.216/05/07 
4.5.116/04/28 
4.516/04/14編集の改善(4.5系)
4.4.2320/06/115.4.2の項を参照
4.4.2220/04/29WordPress 4.4.22 このセキュリティおよびメンテナンスリリースには、
7つのセキュリティ修正に加えて17のバグ修正
(詳細は、5.4.1の項を参照願います)
4.4.2119/12/13セキュリティリリース 以前のバージョンに影響する3件のセキュリティ問題修正 
ホームページの存在を確認2020/03/10
4.4.1919/09/05セキュリティ リリース
(1)複数のクロスサイトスクリプティング(XSS)脆弱性対応。
(2)オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  
(3)WordPress の古いバージョンの jQuery をアップデートしています。
この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
4.4.1819/03/13コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
4.4.1719/01/083.7以降のすべてのバージョンに対するセキュリティ リリース 
ホームページの存在を確認
4.4.1618/11/01 
4.4.1518/05/18 
4.4.1217/10/31ホームページの存在を確認2020/03/10
4.4系最終4.4.23(20/06/11)多くの脆弱性対応
4.4.216/02/03ホームページの存在を確認2020/03/10
4.4系最終4.4.23(20/06/11)多くの脆弱性対応
4.4.116/01/12 
4.415/12/09レスポンシブ画像対応(4.4系) ホームページの存在を確認
4.3.2420/06/115.4.2の項を参照
4.3.2320/04/29WordPress 4.3.23 このセキュリティおよびメンテナンスリリースには、
7つのセキュリティ修正に加えて17のバグ修正
(詳細は、5.4.1の項を参照願います)
4.3.2219/12/13セキュリティ リリース 以前のバージョンに影響する3件のセキュリティ問題修正
4.3.2019/09/05セキュリティ リリース
(1)複数のクロスサイトスクリプティング(XSS)脆弱性対応。
(2)オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  
(3)WordPress の古いバージョンの jQuery をアップデートしています。
この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
4.3.1919/03/13コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
4.3.1819/01/083.7以降のすべてのバージョンに対するセキュリティ リリース
4.3.1718/11/01 
4.3.1618/03/12 
4.3.1317/10/31 
4.3.115/09/17セキュリティ リリース 2つの
ホームページの存在を確認
2020/03/10
4.3系最終4.3.24(20/06/11)多くの脆弱性対応
4.315/08/19新しい書式ショートカット(4.3系)ホームページの存在を確認
4.2.2820/06/115.4.2の項を参照
4.2.2720/04/29WordPress 4.2.27 このセキュリティおよびメンテナンスリリースには、
7つのセキュリティ修正に加えて17のバグ修正
(詳細は、5.4.1の項を参照願います)
4.2.2619/12/13セキュリティ リリース 以前のバージョンに影響する3件のセキュリティ問題修正
4.2.2419/09/05セキュリティ リリース
(1)複数のクロスサイトスクリプティング(XSS)脆弱性対応。
(2)オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  
(3)WordPress の古いバージョンの jQuery をアップデートしています。
この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
4.2.2319/03/13コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
4.2.2219/01/083.7以降のすべてのバージョンに対するセキュリティ リリース
4.2.2118/11/01 
4.2.2018/04/04 
4.2.1918/03/12 
4.2.1817/12/14 
4.2.1717/10/31 
4.2.415/08/06セキュリティ リリース
4.2.315/07/28 
4.2.215/05/08ホームページの存在を確認2020/03/10
4.2系最終4.2.28(20/06/11)多くの脆弱性対応
4.2.115/04/28 
4.215/04/28グローバルにコミュニケーションし、共有する
4.1.3120/06/115.4.2の項を参照
4.1.3020/04/29WordPress 4.1.30 このセキュリティおよびメンテナンスリリースには、
7つのセキュリティ修正に加えて17のバグ修正
(詳細は、5.4.1の項を参照願います)
4.1.2919/12/13セキュリティ リリース 以前のバージョンに影響する3件のセキュリティ問題修正
4.1.2719/09/05セキュリティ リリース
(1)複数のクロスサイトスクリプティング(XSS)脆弱性対応。
(2)オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  
(3)WordPress の古いバージョンの jQuery をアップデートしています。
この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
4.1.2619/03/13コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
4.1.2519/01/083.7以降のすべてのバージョンに対するセキュリティ リリース
4.1.2418/11/01 
4.1.2318/05/18 
4.1.2017/10/31 
4.1.515/06/02 
4.1.415/05/02 
4.1.315/04/25 
4.1.215/04/22 
4.1.115/02/19 
4.114/12/19ホームページの存在を確認2020/03/10
4.1系最終4.1.31(20/06/11)多くの脆弱性対応
4.0.114/12/15セキュリティ リリース サポート終了 4.0ブランチ最終
4.014/12/15言語切り替え。 実質サポート終了 ホームページの存在を確認
3.9.314/11/22サポート終了 ホームページの存在を確認
(3.9系最終)
3.9.214/08/07 
3.9.114/05/09 
3.914/04/17サポート終了
3.8.514/11/22サポート終了
3.8.314/04/15 
3.8.214/04/13 
3.8.114/01/27 
3.813/12/16 
3.7.514/11/22サポート終了
3.7.113/10/30 
3.713/10/25 
3.6.113/09/12サポート終了
3.613/08/03 
3.5.213/06/21サポート終了
3.5.113/01/25 
3.512/12/12 
3.4.212/09/08サポート終了
3.4.112/06/28 
3.412/06/15 
3.3.212/04/21サポート終了 ホームページの存在を確認
3.3.112/01/04 
3.311/12/13 
3.2.111/07/20サポート終了
3.211/07/09 
3.1.411/07/01サポート終了3.1系最終
3.1.311/05/30 
3.1.211/04/28サポート終了 ホームページの存在を確認2020/03/10
3.1系最終3.1.4(2011/7/1)多くの脆弱性があるもののサポート終了
3.1.111/04/08サポート終了 ホームページの存在を確認
3.111/02/28サポート終了 ホームページの存在を確認
3.0.611/04/29サポート終了
3.0.511/02/08 
3.0.410/12/30 
3.0.310/12/09 
3.0.210/12/02 
3.0.110/07/30 
3.010/06/22 
2.9.210/02/16 
2.9.110/01/05 
2.909/12/19 
2.8.609/11/13 
2.8.509/10/22 
2.8.409/08/12 
2.8.309/08/04 
2.8.209/07/20 
2.8.109/07/12 
2.809/06/12 
2.7.109/02/13 
2.708/12/12 
2.6.508/11/27 
2.6.308/10/24 
2.6.208/09/09 
2.6.108/08/17 
2.608/07/16 
2.5.108/04/26 
2.508/03/30 
2.3.308/02/06 
2.3.208/02/03 
2.3.107/12/23 
2.307/09/25 
2.005/12/31 
1.204/05/22 
0.703/05/27初リリース
3D立体マスク
HP Directplus -HP公式オンラインストア-
HP Directplus -HP公式オンラインストア-
WordPressでサイトを制作するときも、制作が終わって運用していくとき

コメント

タイトルとURLをコピーしました