WordPress、複数の脆弱性を修正したセキュリティアップデートを公開
コンテンツマネジメントシステムのWordPressは複数の脆弱性を修正したセキュリティ及びメンテナンスのアップデートを公開した。今回公開されたのはWordPress 4.9.7で、WordPress 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンスリリースとなっている。
今回のアップデートでは、WordPress4.9.6 以前に存在する、特定の権限を持つユーザーが uploads ディレクトリ外のファイルを削除可能になる脆弱性に対応した。この脆弱性はアクセス制限を行う「.htaccess」やインデックスファイルの削除、設定ファイルの「wp-config.php」を削除して初期化することが可能となっている。この脆弱性が悪用されると、設定ファイルを削除されたり、サーバー上で任意のコードを実行される恐れがある。
その他タクソノミーのタームクエリーのキャッシュ処理の改善や投稿、投稿タイプのログアウト時の投稿パスワード Cookie のクリア、ウィジェット管理画面のサイドバーの説明にベーシックな HTML タグの許可、コミュニティイベントダッシュボードの複数のミートアップの場合でも常時最寄り WordCamp の表示、プライバシーでの管理者のコンテキスト外でのリライトルールをフラッシュした際のデフォルトのプライバシーポリシーの内容が致命的なエラーを引き起こさないことの確認など、17件のバグ修正も行った。