WordPressにXSS脆弱性、4.5.2セキュリティリリース

WordPressのセキュリティリリース4.5.2が2016年5月6日に公開されています。

クロスサイトスクリプティング（XSS）が起こりうるバグが修正されています。直接影響を受けるバージョンは、WordPress 4.2から4.5.1までと発表されています。

WordPress 4.5.2

WordPressそのもののバグではなく、WordPressが仕様している画像アップロードライブラリのPluploadと、メディアライブラリのMediaElement.jsの2つによって起こる脆弱性だそうです。

PluploadとMediaElement.jsはそれぞれ個別に修正が入っているようですが、WordPressはWordPressのコードに含まれているのでWordPress自体を更新すれば解決できます。

同時に、WordPressを動かしているPHPの拡張ライブラリ、ImageMagickについても注意喚起されています。

WordPressには含まれていませんが、よく使われるライブラリです。私のサイトでは、使われていないので、必須というわけではありません。

「ImageTragick脆弱性」(CVE-2016-3714、CVE-2016-3718、CVE-2016-3715)と名付けられているようで、新しいセキュリティリリースImageMagick 6.9.3-10でパッチがあたっているようです。

が、脆弱性が完全に塞がれているかはわからないのと、レンタルサーバーの場合は自分ではパッチを当てられないという問題があります。

ライブラリの名称はImageMagickですが、ライブラリ名は「imagick」です。

Joomlaはphpinfo()を管理画面から表示できます。「システム→システム情報→PHP情報」などから表示できます。