WordPress 5.0.1 リリース
帰宅後メールを確認すると「WordPress 5.0.1 へのサイト更新が完了しました」メールが届いていました。
2018年12月13日 WordPress 5.0.1 がリリースされたことによりアップデートが実施されていました(マイナーアップデートON設定)。
WordPressで運用している「MASAa.blog」「MASAa.net」「エフマツ(FMAZ)」の各サイトを確認したところ、正常に WordPress 5.0.1 へのアップデートが完了していました。
WordPress 5.0.1 について
先日、メジャーバージョンアップとして WordPress 5.0 がリリースされたばかりですが、今回の WordPress 5.0.1 は、セキュリティ(脆弱性対処)リリースになります。
そのセキュリティ(脆弱性対処)として、
- 著者が許可されていないファイルを削除するためにメタデータを変更できる。
- 著者が特別に細工された入力を持つ不正な投稿タイプの投稿を作成する可能性があります。
- 貢献者がPHPオブジェクト注入の結果としてメタデータを作成する可能性があります。
- コントリビュータがより高い権限を持つユーザーからの新しいコメントを編集し、クロスサイトスクリプティングの脆弱性を招く可能性があります。
- 特別に細工されたURL入力が、状況によってはクロスサイトスクリプティングの脆弱性を引き起こす可能性あります。これはWordPress自体は影響を受けていませんでしたが、プラグインはいくつかの状況にある可能性があります。
- いくつかの珍しい構成でユーザーアクティベーション画面を検索エンジンで索引付けすることができ、電子メールアドレスの公開につながり、場合によってはデフォルトのパスワードが生成される。
- Apacheホストサイトの作者がMIME検証をバイパスする細工されたファイルをアップロードし、クロスサイトスクリプティングの脆弱性を引き起こす。
が確認され修正されています。
WordPress 3.7以降のすべてのバージョンに対するアップデートなので、即時アップデート必須です。
通常マイナーアップデートをONにしていれば自動アップデートが実施されるのですが、そうでない場合には手動でアップデートを実施する必要があります。
詳しくは「WordPress 5.0.1 リリースノート」で確認して下さい。
今回の WordPress 5.0.1では、Gutenbergに関する修正は盛り込まれていないので、次回以降のアップデートに期待と言ったところでしょう。
