WordPressに深刻な脆弱性が発見されています。



　
　セキュリティ研究者Jouk Pynnonenによるとこの5年間でもっとも深刻な脆弱性で、WordPressを利用しているサイトの内86%が影響を受けるとのこと。

Worst WordPress hole for five years affects 86% of sites • The Register
An estimated 86 per cent of WordPress websites harbour a dangerous cross-site scripting (XSS) hole in the popular comment system plugin, in what researcher Jouk Pynnonen calls the most serious flaw in five years. The bug could provide a pathway for attacking visitors' machines.


　WordPress のVersion3.9.2およびそれ以前のバージョンのサイトは、サイトが不正侵入される可能性のある重大なクロスサイトスクリプティング脆弱性が存在します。
　
　この脆弱性を修正した「WordPress 4.0.1」はすでに2014年11月20日に公開されており、自動アップデートを有効にしている場合、自動的に配信されます。ただし、Ver3.9.2、3.8.4、または3.7.4の場合は、安全性を維持するために3.9.3、3.8.5、または3.7.5に更新されます。古いバージョンはサポートされないため、最新の Ver4.0.1にアップデートすべきです。
　
　なお、Version3.9.2より新しいバージョンではこの脆弱性の影響はないものの、Ver4.0.1には別の脆弱性の修正も含まれているため、やはりVer4.0.1に上げることが望ましいでしょう。

　自動更新を有効にしている場合はバージョンが上がっているかどうか確認しましょう。そうでない方は、手動でバージョンアップすることを検討してください。
　
　脆弱性の詳細および新しいバージョンのダウンロードはWordPress 4.0.1 セキュリティリリースを参考にしてください。
　

WordPress 4.0.1が利用可能になりました。このリリースは、これまでのすべてのバージョンのための重要なセキュリティリリースであり、すぐにサイトを更新することを強くお勧めします。
WordPress › 日本語 « WordPress 4.0.1 セキュリティリリース

関連記事

WordPress利用者は念のため確認を！ TimThumbプラグインにリモート操作可能な新たな脆弱性｜I believe in technology
セキュリティベンダー「SUCURI」のブログによると、WordPressのプラグイン「TimThumb」のWebshot機能にゼロデイ脆弱性があり、リモートからコマンドの実行が可能であることが公表されました。