WordPressにXSS脆弱性、4.5.2セキュリティリリース

WordPressのセキュリティリリース4.5.2が2016年5月6日に公開されています。

クロスサイトスクリプティング(XSS)が起こりうるバグが修正されています。直接影響を受けるバージョンは、WordPress 4.2から4.5.1までと発表されています。

Sponsored link

WordPress 4.5.2

Wordpress-452-update

Plupload & MediaElement.js

WordPressそのもののバグではなく、WordPressが仕様している画像アップロードライブラリのPluploadと、メディアライブラリのMediaElement.jsの2つによって起こる脆弱性だそうです。

PluploadとMediaElement.jsはそれぞれ個別に修正が入っているようですが、WordPressはWordPressのコードに含まれているのでWordPress自体を更新すれば解決できます。

ImageMagick

同時に、WordPressを動かしているPHPの拡張ライブラリ、ImageMagickについても注意喚起されています。

WordPressには含まれていませんが、よく使われるライブラリです。私のサイトでは、使われていないので、必須というわけではありません。

「ImageTragick脆弱性」(CVE-2016-3714、CVE-2016-3718、CVE-2016-3715)と名付けられているようで、新しいセキュリティリリースImageMagick 6.9.3-10でパッチがあたっているようです。

が、脆弱性が完全に塞がれているかはわからないのと、レンタルサーバーの場合は自分ではパッチを当てられないという問題があります。

WordPress

WordPress自体からはImageMagickライブラリを使っているかどうか確認できません。WordPressの公式サイトで書かれているようにシェルからコマンド入力をする方法か、PHPの実行環境を表示するプラグイン「WordPress phpinfo()」などを導入すれば、表示出来ます。

ライブラリの名称はImageMagickですが、ライブラリ名は「imagick」です。

Joomla!

Joomlaはphpinfo()を管理画面から表示できます。「システム→システム情報→PHP情報」などから表示できます。

Sponsored link
Spinsored link

シェアする

  • このエントリーをはてなブックマークに追加

フォローする