最新のWordPress 4.2を含め全バージョンに深刻なXSSの微弱性がある
昨日、WordPressの最新版である4.2が公開されましたが、脆弱性を修正した4.2.1が直ぐに公開されています。
今回の修正内容は、全バージョンにて影響を受けるそうです。
脆弱性の内容は、クロスサイトスクリプティング(XSS)となっており、コメント入力でJavaScriptを挿入され、サーバー上で悪意のあるコードや管理権限が更新されるなど、深刻な内容となっています。
・コメントを許可していないサービでは影響無いのだろうか?
・Akismetプラグイン(コメントスパム対策)を導入していれば影響ないのだろうか?
詳細は分かりませんが、この微弱性問題の発見者が、問題の再現コード、デモ映像を公開しているらしいので、早急にバージョンアップした方が良さそうです。
A few hours ago, the WordPress team was made aware of a cross-site scripting vulnerability, which could enable commenters to compromise a site. The vulnerability was discovered by Jouko Pynnönen.
WordPress 4.2.1 Security Release
wordpress.org/news/2015/04/wordpress-4-2-1/