WordPress 6.5.5 Security updates 2024/06/25

WordPress WordPress
WordPress6.5.5
記事内に広告が含まれています。

バージョン 6.5.5 はいくつかのセキュリティ問題に対応し、3個のバグを修正しました。

Thank you for reading this post, don't forget to subscribe!

WordPress 6.5.5 はセキュリティアップデートを中心としたマイナーリリースです。
3つの重要なセキュリティ修正が含まれているため、すぐにサイトを更新することが推奨されています。

PR広告

修正された脆弱性の詳細

  • HTML API のクロスサイトスクリプティング (XSS) 脆弱性: 悪意のあるスクリプトが仕込まれる可能性があり、サイトの改ざんや マルウェア配布などの被害につながる恐れがあります。
  • テンプレートパートブロックのクロスサイトスクリプティング (XSS) 脆弱性: こちらも悪意のあるスクリプトが仕込まれる可能性があり、サイトの改ざんや マルウェア配布などの被害につながる恐れがあります。
  • Windows環境でのパス トラバーサル脆弱性: 本来アクセスできないファイルやディレクトリにアクセスできてしまう可能性があり、情報漏洩などの被害につながる恐れがあります。

XSS

XSS
xss:クロスサイトスクリプティング 出典:IPA 情報処理推進機構

クロスサイトスクリプティング (XSS:cross-site scripting) とは、悪意のあるスクリプトが正当なスクリプトとして仕込まれるウェブアプリケーションの脆弱性のことです。
このスクリプトは、ユーザーのブラウザで実行され、サイト管理者や他のユーザーの機密情報窃取、サイトの改ざん、さらにはマルウェアの配布などの悪用がされる可能性があります。

IPA XSS(CSS)図
IPA 情報処理推進機構が示すXSS(CSS)図

パス トラバーサル

ディレクトリトラバーサル攻撃とは、アクセスされることを想定していない非公開情報が保存されているディレクトリ(ファイル)に不正な手段でアクセスするサイバー攻撃手法です。 「パス・トラバーサル」とも呼ばれています。 「ディレクトリ」とは、コンピュータで複数のファイル管理を行う際に使用する、フォルダの格納場所を指す言葉です。(フォルダ(ディレクトリ)を遡り、任意のファイルにアクセス
する脆弱性。)

path traversal

パス トラバーサル(path traversal)とは、本来アクセス制限されているディレクトリやファイルに不正にアクセスできてしまうウェブアプリケーションの脆弱性の総称です。攻撃者はこの脆弱性を悪用して、ウェブサーバー上に保存されている機密情報やシステムファイルを窃取したり、ウェブサーバーの設定を変更したりするなどができてしまいます。

IPA: directory-traversal

変更ログ

改訂されたファイルのリスト

/wp-admin/about.php
/wp-admin/includes/plugin-install.php
/wp-includes/version.php/wp-includes/blocks.php
/wp-includes/formatting.php
/wp-includes/functions.php
/wp-includes/fonts.php
/wp-includes/rest-api/endpoints/class-wp-rest-font-faces-controller.php
/wp-includes/html-api/class-wp-html-tag-processor.php

改訂されたパッケージのリスト

@wordpress/block-directory
@wordpress/block-library
@wordpress/customize-widgets
@wordpress/edit-post
@wordpress/edit-site
@wordpress/edit-widgets