TrustBrain

WordPress 6.5.5 の 公開 について

2024年6月24日に、 メンテナンスリリース として WordPress 6.5.5 が公開されました。

(1) 修正概要

6.5.5では、コア3つの修正に加えて、 脆弱性対策が実施されておりますので、速やかにサイト更新(アップデート)をお願いします

(2) WordPress セキュリティ対策 保守パック ご契約のお客さまへ

「Support」、「Technical」、「Customer」、「Service」の文字 と 技術的なWordPress顧客サポート

WordPress セキュリティ対策保守パック

さらに詳しく

自動更新がされていない場合は、その旨をメールにて順次ご連絡しております。

(3) 参考サイト

日本語サイト
WordPress 6.5.5 | WordPress.org 日本語

英語オリオジナルサイト
WordPress 6.5.5 – WordPress News

脆弱性情報

想定される被害 Ⅰこの脆弱性を悪用されると、WordPress の管理サイトに対する寄稿者以上の権限があれば不正なスクリプトをWordPressサイトのページに埋め込むことができてしまいます一般のサイト閲覧者がそのようなページを開いた場合、埋め込れた危険なスクリプトを実行してしまう恐れがあります。
具体的な被害としては、個人情報の窃取や、マルウェアへの誘導フィッシング詐欺への利用などが考えられます。
(発見された脆弱性: クロスサイトスクリプティング (XSS))

※被害例は、発見された脆弱性種別に対する一般的な説明です。
脆弱性情報 (CVE-ID / 公開日)CVE-2024-6307 / 2024/06/25
脆弱性の深刻度 (CVSS v3)基本値: 6.4 (警告)  [Wordfence]
引用元
WordPress Core < 6.5.5 – Authenticated (Contributor+) Stored Cross-Site Scripting via HTML API
想定される被害 Ⅱこの脆弱性を悪用されると、WordPress の管理サイトに対する寄稿者以上の権限があれば、データベースにアクセスできてしまいます。そのため、下記の被害を及ぼす恐れがあります。
・機密情報の取得
・個人情報の漏えい
・ウェブページの改ざん、パスワード変更、システム停止
(発見された脆弱性: SQL インジェクション)

※被害例は、発見された脆弱性種別に対する一般的な説明です。
脆弱性情報 (CVE-ID / 公開日)CVE-2024-31111 / 2024/06/25
脆弱性の深刻度 (CVSS v3)基本値: 6.4 (警告)  [Wordfence]
引用元
WordPress Core < 6.5.5 – Authenticated (Contributor+) Stored Cross-Site Scripting via Template Part Block
想定される被害 Ⅲこの脆弱性を悪用されると、WordPress の管理サイトに対する寄稿者以上の権限があれば公開を想定していないファイルが参照できてしまうため、下記の被害を及ぼす恐れがあります。
・重要情報の漏えい
・設定ファイル、データファイル、プログラムのソースコード等の改ざん、削除
(発見された脆弱性: パストラバーサル)

※被害例は、発見された脆弱性種別に対する一般的な説明です。
脆弱性情報 (CVE-ID / 公開日)CVE-2024-32111 / 2024/06/25
脆弱性の深刻度 (CVSS v3)基本値: 4.3 (警告)  [Wordfence]
引用元
WordPress Core < 6.5.5 – Authenticated (Contributor+) Directory Traversal

ソフトウェア脆弱性情報の著作権に関する注意事項

This record contains material that is subject to copyright.

Copyright 2012-2023 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.

Copyright 1999-2023 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.

脆弱性説明 引用元 

VJN

安全なウェブサイトの作り方 – 1.5 クロスサイト・スクリプティング | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
CWE-79 クロスサイトスクリプティング – JVN iPedia – 脆弱性対策情報データベース

安全なウェブサイトの作り方 – 1.1 SQLインジェクション | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
CWE-89 SQLインジェクション – JVN iPedia – 脆弱性対策情報データベース

安全なウェブサイトの作り方 – 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
パス・トラバーサル – JVN iPedia – 脆弱性対策情報データベース

旧バージョンに対するリリースについて

WordPress メジャーバージョン 6.4 についても、バックポート対応もリリースされておりますので、旧バージョンをご利用の場合も、サイト更新(アップデート)をお願いします。

次回リリースについて

次のメジャーリリースは バージョン 6.6 が 2024年7月16日(火) にリリースされる予定です。

ご相談・お問い合わせ

吹き出しの中に描かれた、電話と会話をイメージしたアイコン画像

076-218-5106

さらに詳しく

月~金 10:00~17:00 受付

2営業日以内に一次回答いたします