「WordPress」に複数の脆弱性 - プレースホルダ利用でもSQLiのおそれ
コンテンツマネジメントシステム(CMS)である「WordPress」の開発チームは、脆弱性を修正したセキュリティアップデート「WordPress 4.8.2」をリリースした。アップデートを強く推奨している。
脆弱性対策やバグへの対策を施した「WordPress 4.8.2」
今回のアップデートでは、ビジュアルエディタに存在する脆弱性をはじめ、複数のクロスサイトスクリプティング(XSS)へ対応。パストラバーサルやオープンリダイレクトの脆弱性に対処した。
さらに、安全なSQLクエリを実行するため、プレースホルダの機能を提供する「wpdbクラス」の「prepareメソッド」において、「SQLインジェクション」を生じさせるクエリを生成するおそれがあることが判明した。
同脆弱性は、「WordPress」そのものに直接的な影響はないものの、同関数を利用するプラグインやテーマなどが影響を受けるおそれがあることから対策を強化したという。
また今回のアップデートでは、あわせて6件のバグに対応した。開発チームは、旧バージョンの利用者へ早急にアップデートを実施するよう強く推奨している。
(Security NEXT - 2017/09/20 )
ツイート
関連リンク
PR
関連記事
HPE Arubaの「AOS」に複数の脆弱性 - アップデートを公開
「Node.js」に複数脆弱性 - 1月21日にアップデート予定
「Node.js」のEOL版に重大な脆弱性 - すみやかに更新を
「Sentry」のSSOに脆弱性 - なりすましのおそれ
Ivanti、3製品でアップデートを公開 - 脆弱性を解消
「Aviatrix Controller」の脆弱性悪用に注意喚起 - 米当局
「NVIDIA Container Toolkit」に複数脆弱性 - アップデートを公開
「Ivanti EPM」に複数の深刻な脆弱性 - アップデートを公開
SAP、セキュリティアドバイザリ14件を公開 - 「クリティカル」も
SAP、月例セキュリティアドバイザリ13件を公開