WordPress 6.5.5 の 公開 について
2024年6月24日に、 メンテナンスリリース として WordPress 6.5.5 が公開されました。
(1) 修正概要
6.5.5では、コア3つの修正に加えて、 脆弱性対策が実施されておりますので、速やかにサイト更新(アップデート)をお願いします。
(2) WordPress セキュリティ対策 保守パック ご契約のお客さまへ
WordPress セキュリティ対策保守パック
自動更新がされていない場合は、その旨をメールにて順次ご連絡しております。
脆弱性情報
| 想定される被害 Ⅰ | この脆弱性を悪用されると、WordPress の管理サイトに対する寄稿者以上の権限があれば、不正なスクリプトをWordPressサイトのページに埋め込むことができてしまいます。一般のサイト閲覧者がそのようなページを開いた場合、埋め込れた危険なスクリプトを実行してしまう恐れがあります。 具体的な被害としては、個人情報の窃取や、マルウェアへの誘導、フィッシング詐欺への利用などが考えられます。 (発見された脆弱性: クロスサイトスクリプティング (XSS)) ※被害例は、発見された脆弱性種別に対する一般的な説明です。 |
|---|---|
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2024-6307 / 2024/06/25 |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 6.4 (警告) [Wordfence] |
WordPress Core < 6.5.5 – Authenticated (Contributor+) Stored Cross-Site Scripting via HTML API
| 想定される被害 Ⅱ | この脆弱性を悪用されると、WordPress の管理サイトに対する寄稿者以上の権限があれば、データベースにアクセスできてしまいます。そのため、下記の被害を及ぼす恐れがあります。 ・機密情報の取得 ・個人情報の漏えい ・ウェブページの改ざん、パスワード変更、システム停止 (発見された脆弱性: SQL インジェクション) ※被害例は、発見された脆弱性種別に対する一般的な説明です。 |
|---|---|
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2024-31111 / 2024/06/25 |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 6.4 (警告) [Wordfence] |
WordPress Core < 6.5.5 – Authenticated (Contributor+) Stored Cross-Site Scripting via Template Part Block
| 想定される被害 Ⅲ | この脆弱性を悪用されると、WordPress の管理サイトに対する寄稿者以上の権限があれば、公開を想定していないファイルが参照できてしまうため、下記の被害を及ぼす恐れがあります。 ・重要情報の漏えい ・設定ファイル、データファイル、プログラムのソースコード等の改ざん、削除 (発見された脆弱性: パストラバーサル) ※被害例は、発見された脆弱性種別に対する一般的な説明です。 |
|---|---|
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2024-32111 / 2024/06/25 |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 4.3 (警告) [Wordfence] |
WordPress Core < 6.5.5 – Authenticated (Contributor+) Directory Traversal
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2023 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2023 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
脆弱性説明 引用元
安全なウェブサイトの作り方 – 1.5 クロスサイト・スクリプティング | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
CWE-79 クロスサイトスクリプティング – JVN iPedia – 脆弱性対策情報データベース
安全なウェブサイトの作り方 – 1.1 SQLインジェクション | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
CWE-89 SQLインジェクション – JVN iPedia – 脆弱性対策情報データベース
安全なウェブサイトの作り方 – 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
パス・トラバーサル – JVN iPedia – 脆弱性対策情報データベース
旧バージョンに対するリリースについて
WordPress メジャーバージョン 6.4 についても、バックポート対応もリリースされておりますので、旧バージョンをご利用の場合も、サイト更新(アップデート)をお願いします。
次回リリースについて
次のメジャーリリースは バージョン 6.6 が 2024年7月16日(火) にリリースされる予定です。
