このページで: [隠れる]
WordPressをバージョンに更新しましたか 5.4.2? まだの場合, できるだけ早くそれを行うことを検討してください, アップデートには 23 修正と機能強化, 具体的には 6 セキュリティ修正, 3 そのうちのアドレスXXS, またはクロスサイトスクリプティングの脆弱性.
WordPressバージョンのセキュリティ修正 5.4.2
WordPressの最新バージョンで対処された最初のXSSの脆弱性により、低い権限を持つ認証されたユーザーがブロックエディターの投稿にJavaScriptを追加できるようになった可能性があります.
この脆弱性により、攻撃者はEmbedded iFrameの属性を操作して、JavaScriptを投稿に挿入できる可能性があります。. edit_posts機能を持つユーザー, または、ほとんどの構成でコントリビューターロール以上のユーザー, 問題を活用できる可能性があります, ワードフェンスの研究者は言う.
2番目のXSSの欠陥により、認証されたユーザーにアップロード権限が許可される可能性があります (upload_files機能) JavaScriptをメディアファイルに追加するには. 言い換えると, 攻撃者は、アップロードされたメディアファイルの「説明」フィールドにJavaScriptコードを挿入できる可能性があります. これには、作成者の役割以上のユーザーが含まれます.
また, 読んだ 130M攻撃は130万のWordPressサイトからデータベースのクレデンシャルを盗もうとします
3番目の認証されたXSSバグにより、攻撃者は壊れたWordPressテーマのスタイルシートにJavaScriptを挿入する可能性があります. 次に、別のユーザーが[外観]-> [テーマ]ページを開くと、コードが実行されます。. この脆弱性は、install_themesまたはedit_themes機能を持つユーザーによって悪用される可能性があります, ほとんどの構成で管理者が利用できます, ワードフェンスは警告します.
WordPressバージョンで修正された他のセキュリティバグ 5.4.2?
– wp_validate_redirectのオープンリダイレクトの問題();
– set-screen-optionがプラグインによって悪用され、特権の昇格につながる可能性がある問題;
– パスワードで保護された投稿やページからのコメントが特定の条件下で表示される可能性がある問題.
幸いなことに、これらの問題のほとんどは、特定の状況下でのみ悪用される可能性があります, 限られた条件または信頼できるユーザーによる. それにもかかわらず, 最新バージョンに更新することを強くお勧めします. これはWordPressのマイナーリリースであるため、注意してください, ほとんどのウェブサイトは自動的にバージョンに更新されます 5.4.2.