セキュリティ研究者は、WordPressに6つの深刻な脆弱性が発見されたことを報告しました. 脆弱性’ 影響は次のように評価されています “高い”, つまり、できるだけ早くパッチを適用することを強くお勧めします.
WordPressで修正された6つのWordPressの脆弱性 5.2.4
ノートンライフロックによると セキュリティアドバイザリ, 攻撃者はこの欠陥を利用して、影響を受けるサイトのコンテキストで脆弱なユーザーのブラウザで任意のスクリプトコードを実行する可能性があります. これにより、攻撃者はCookieベースの認証資格情報を盗み、他の攻撃を開始する可能性があります, また、特定のセキュリティ制限をバイパスして、不正なアクションを実行します.
どのWordPressバージョンが欠陥に対して脆弱であるか? WordPressより前のバージョン 5.2.4 脆弱です. 影響を受けるテクノロジーのリストには、WordPress間のすべてのバージョンが含まれていました 3.0.1 とWordPressWordPress 5.2.3.
良いニュースは、WordPress 5.2.4 すでに利用可能です, 6つのセキュリティ問題に対処します.
脆弱性のリストとそれらを発見した研究者の名前は次のとおりです:
- Evan Ricafortは、XSSが保存されている問題を発見しました (クロスサイトスクリプティング) カスタマイザーを介して追加できます.
- JD. グライムスは、認証されていない投稿を表示する方法を見つけて開示しました.
- Weston Ruterは、保存されたXSSを作成してJavascriptをスタイルタグに挿入する方法を発見しました.
- David Newmanは、Varyを介してJSONGETリクエストのキャッシュをポイズニングする方法を発見しました: オリジンヘッダー.
- Eugene Kolodenkerは、URLが検証される方法でサーバー側のリクエストフォージェリを発見しました.
- WordPressセキュリティチームのBenBidnerが、管理者のリファラー検証に関連する問題を発見しました.
WordPressチームは、脆弱性を非公開で開示している研究者に感謝しました, これにより、WordPressサイトが攻撃される前に修正する時間が与えられました.
WordPressに注意する必要があります 5.2.4 バージョンは “短期間のセキュリティリリース“, その後、バージョンのメジャーリリースが続きます 5.3.
WordPressユーザーはできます WordPressをダウンロード 5.2.4 または訪問 ダッシュボード – 更新 をクリックします 今すぐアップデート. 自動バックグラウンド更新をサポートするサイトは、すでに自動更新を開始しています, WordPressチームは.