WordPress 脆弱性とバージョン推移

WordPressは、積極的に保守されている
5.2系統の最新版以外の以下のバージョンは、安全に使用することはできません。

WordPressホームページを運営していくために必要なこと
WordPressホームページを運営していくために必要なこと

Update:2019/09/05

Written:2019/08/28

あなたのホームページのWordPressは大丈夫でしょうか?

 

Ver リリース 脆弱性とバージョン推移
WordPress記録があるすべてのリリース
5.3 進捗中

https://core.trac.wordpress.org/milestone/5.3
難航19/09/05時点での進捗50%:19/08/27時点での進捗47%

出典Milestone 5.3        次のメジャーリリース

5.2.3 19/09/05 セキュリティ リリース
複数のクロスサイトスクリプティング(XSS) 脆弱性対応。オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  5.0とそれ以前のバージョンにもアップデートされたバージョンがあります。WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、4.1ブランチまでの古いバージョンへも反映されました。(各リリースを参照)&メンテナンス リリース:29個のバグを修正
積極的に保守されている5.2系統の最新版以外の以下のバージョンは、安全に使用することはできません。
5.2.2 19/07/24 メンテナンス リリース:13個のバグを修正
5.2.1 19/05/22 5.2.1は 5.2の機能の改善と33件のバグを修正しています。
5.2 19/05/19, 05/08 メジャーバージョン:5.2ブランチ(5.2系統)
5.1.2 19/09/05 セキュリティ リリース
複数のクロスサイトスクリプティング(XSS) 脆弱性対応。オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
5.1.1 19/05/11, 03/13 コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース : ホームページの存在を確認
5.1 19/03/11 メジャーバージョン:エディター全体のパフォーマンスの向上(5.1系統)
クロスサイトリクエストフォージェリの脆弱性(情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性)5.1.1 未満 JVN脆弱性対策情報データベース
5.0.6 19/09/05 セキュリティ リリース
複数のクロスサイトスクリプティング(XSS) 脆弱性対応。オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
5.0.4 19/04/09, 03/13 コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
5.0.3 19/03/13 37個のバグ修正リリース : ホームページの存在を確認
、パストラバーサルの脆弱性が存在(情報を改ざんされる可能性があります。)5.0.3まで JVN脆弱性対策情報データベース
5.0.2 19/01/09 73個のバグに取り組むメンテナンス リリース
5.0.1 18/12/18 3.7以降のすべてのバージョンに対するセキュリティ リリース(XSS:クロスサイトスクリプティング、権限外の操作を行える、個人情報が漏れる可能性があるなどの脆弱性に対応)
5.0 18/12/10 メジャーバージョン(下位からの自動バージョンアップ無し):5.0ブランチ(5.0系統)
コードインジェクションの脆弱性(情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性)が存在、信頼性のないデータのデシリアライゼーションに関する脆弱性(情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性)が存在、アクセス制御に関する脆弱性(情報を改ざんされる可能性)、クロスサイトスクリプティングの脆弱性(情報を取得される、および情報を改ざんされる可能性)、入力確認に関する脆弱性、情報漏えいに関する脆弱性、(5.0.1 未満の 5.x) JVN脆弱性対策情報データベース
4.9.11 19/09/05 セキュリティ リリース
複数のクロスサイトスクリプティング(XSS) 脆弱性対応。オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
4.9.10 19/03/13 コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース : ホームページの存在を確認
4.9.9 19/03/13, 18/12/13 3.7以降のすべてのバージョンに対するセキュリティ リリース(XSS:クロスサイトスクリプティング、権限外の操作を行える、個人情報が漏れる可能性があるなどの脆弱性に対応)
4.9.8 18/08/02 18のプライバシー関連の修正と改善対応
コードインジェクションの脆弱性(情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性)が存在、信頼性のないデータのデシリアライゼーションに関する脆弱性(情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性)が存在、アクセス制御に関する脆弱性(情報を改ざんされる可能性)、クロスサイトスクリプティングの脆弱性(情報を取得される、および情報を改ざんされる可能性)、入力確認に関する脆弱性、情報漏えいに関する脆弱性、(4.9.9 未満)JVN脆弱性対策情報データベース
4.9.7 18/07/05 3.7以降4.9.6以前に存在した脆弱性対応(ファイルの編集・削除の脆弱性)
(それぞれの系では同以下が対応:4.8.8、4.7.12、4.6.13、4.5.16、4.4.17、4.3.18、4.2.22、4.1.25、4.0.24、3.9.25、3.8.27、3.7.27
4.9.6 18/05/17 プライバシー・メンテナンス リリース(プライバシーとメンテナンスについて37件の拡張、51件の問題の修正)WordPress 4.9.6およびそれ以前のバージョンは1件のセキュリティ問題の影響を受けます。WordPress 4.9.6およびそれ以前のバージョンはファイル削除に関する問題の影響を受けます。これはメディアファイルの編集と削除の権限を持つユーザーが、メディアのメタデータを潜在的に操作できるという問題です。これにより uploads ディクレトリの外にあるファイルの削除を試みることができてしまいます。
4.9.5 18/04/03 3.7以降のすべてのバージョンに対するセキュリティ リリース: WordPress 4.9.4およびそれ以前のバージョンは3件のセキュリティ問題の影響を受けます。WordPress 4.9.5では以下の問題が修正されました。 (1)デフォルトで localhost を同じホストとして扱わない。 (2)SSL が強制されている場合に、ログインページのリダイレクトに安全なリダイレクトを使用する。 (3)ジェネレータータグでバージョン文字列が正しくエスケープされていることを確認する。
4.9.4 18/02/06 4.9.4以下(3.7-4.9.4)で複数の脆弱性。対策バージョン4.9.5
4.9.3 18/02/05 重大・申告なバグ:4.9の34件の問題を修正、4.9.4へ自動バージョンアップされない問題も発覚(4.9.3 は自動バックグラウンド更新を有効化したサイトで、自動更新に失敗します。手動でバージョン 4.9.4 に更新する必要があります。)
4.9.2 18/01/16 セキュリティ リリース 4.9 およびそれ以前のバージョン に含まれるライブラリー MediaElement 4.x の Flash 代替ファイルによるXSSの脆弱性対応リリース
4.9.1 17/11/29 セキュリティ リリース 4.9 およびそれ以前のバージョンは4件の潜在的にマルチベクトル型攻撃の一部として機能し得るセキュリティ問題の影響への対応
4.9 17/11/17 大規模なカスタマイザーの改善、コードエラーのチェック(4.9系統)
4.8.10 19/09/05 セキュリティ リリース
複数のクロスサイトスクリプティング(XSS) 脆弱性対応。オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
4.8.9 19/03/13 コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース : ホームページの存在を確認
4.8.8 19/03/13, 01/25 3.7以降のすべてのバージョンに対するセキュリティ リリース
4.8.7 18/12/03  : ホームページの存在を確認
4.8.6 18/04/04  
4.8.5 18/03/13  
4.8.3 17/11/01 セキュリティ リリース: WordPress 4.8.2 以前のバージョンにおいて、$wpdb->prepare() が本来想定しない安全でないクエリーを出力する問題が確認され、この問題が SQL インジェクション (SQLi) に利用される可能性があります。ホームページの存在を確認
4.8.2 17/09/25 WordPress 4.8.2およびそれ以前のバージョンは、$wpdb->prepare()がSQLインジェクション(SQLI)につながる予期しない危険なクエリを作成する可能性がある、という問題の影響を受けています。
4.8.1 17/08/07  
4.8 17/06/23 ユーザーを念頭に置いたアップデート(4.8系統)
4.7.14 19/09/05 セキュリティ リリース
複数のクロスサイトスクリプティング(XSS) 脆弱性対応。オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、4.1ブランチまでの古いバージョンへも反映されました。
4.7.13 19/03/13 コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
4.7.12 19/03/13, 01/25 3.7以降のすべてのバージョンに対するセキュリティ リリース : ホームページの存在を確認
4.7.11 18/11/01  
4.7.10 18/04/04  
4.7.9 18/03/13  
4.7.7 17/10/31  
4.7.5 17/05/18 セキュリティ リリース:WordPress 4.7.5 では WordPress 4.7 系列に対する4件のメンテナンス修正
4.7.4 17/04/22 WordPress 4.7.4 とそれ以前のバージョンは6件のセキュリティ問題の影響を受けます。
(1)HTTP クラスにおける不十分なリダイレクト妥当性確認。 (2)XML-RPC API における投稿メタデータ値の不適切な操作。 (3)XML-RPC API 投稿メタデータ操作における権限確認の不足。 (4)ファイルシステム認証情報ダイアログに見つかったクロス サイト リクエスト フォージェリ (CRSF) 脆弱性。 (5)非常に大きいファイルのアップロードを試みた際に見られるクロス サイト スクリプティング (XSS) 脆弱性。 (6)Customizer 関連のクロス サイト スクリプティング (XSS) 脆弱性。
4.7.3 17/03/07 WordPress 4.7.3 では 4.7 リリースシリーズに対する39件のメンテナンス修正が実施されています。
WordPress 4.7.2 およびそれ以前のバージョンは6件のセキュリティ問題の影響を受けます。(1)メディアファイルのメタデータを介したクロス サイト スクリプティング (XSS) 脆弱性。 (2)制御文字を利用したリダイレクト URL 検証回避の可能性。 (3)プラグイン削除を行う機能を利用して管理者による意図しないファイル削除が実行される可能性 (4)YouTube 動画埋め込み URL を介したクロス サイト スクリプティング (XSS) 脆弱性。 (5)タクソノミーのターム名を介したクロス サイト スクリプティング (XSS) 脆弱性。 (6)Press This におけるクロス サイト リクエスト フォージェリ (CSRF) によりサーバーリソースの過剰利用が引き起こされる問題。
4.7.2 17/01/29 REST APIに対する脆弱性対策リリース : ホームページの存在を確認
4.7.1 17/01/12 4.74.7.1REST APIに対する脆弱性攻撃で 155万サイト改ざんされるセキュリティ事故が発生
4.7 16/12/07 REST-APIの採用。サイトのセットアップが思いのままに実現できる(4.7系統)
4.6.15 19/09/05 セキュリティ リリース
複数のクロスサイトスクリプティング(XSS) 脆弱性対応。オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
4.6.14 19/03/13 コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
4.6.13 19/03/13, 01/08 3.7以降のすべてのバージョンに対するセキュリティ リリース
4.6.12 18/11/01  
4.6.11 18/05/18  
4.6.8 17/10/31  
4.6.1 16/09/10  
4.6 16/08/17 同じページ内でプラグインやテーマの更新、インストール、削除が可能(4.6系統) : ホームページの存在を確認
4.5.18 19/09/05 セキュリティ リリース
複数のクロスサイトスクリプティング(XSS) 脆弱性対応。オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
4.5.17 19/03/13 コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
4.5.16 19/01/08 3.7以降のすべてのバージョンに対するセキュリティ リリース
4.5.15 18/11/01  
4.5.14 18/04/04  
4.5.13 18/03/13  
4.5.3 16/06/22  
4.5.2 16/05/07  
4.5.1 16/04/28  
4.5 16/04/14 編集の改善(4.5系統)
4.4.19 19/09/05 セキュリティ リリース
複数のクロスサイトスクリプティング(XSS) 脆弱性対応。オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
4.4.18 19/03/13 コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
4.4.17 19/01/08 3.7以降のすべてのバージョンに対するセキュリティ リリース : ホームページの存在を確認
4.4.16 18/11/01  
4.4.15 18/05/18  
4.4.2 16/02/03  
4.4.1 16/01/12  
4.4 15/12/09 レスポンシブ画像対応(4.4系統) : ホームページの存在を確認
4.3.20 19/09/05 セキュリティ リリース
複数のクロスサイトスクリプティング(XSS) 脆弱性対応。オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
4.3.19 19/03/13 コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
4.3.18 19/01/08 3.7以降のすべてのバージョンに対するセキュリティ リリース
4.3.17 18/11/01  
4.3.16 18/03/12  
4.3.13 17/10/31  
4.3.1 15/09/17 セキュリティ リリース
4.3 15/08/19 新しい書式ショートカット(4.3系統) : ホームページの存在を確認
4.2.24 19/09/05 セキュリティ リリース
複数のクロスサイトスクリプティング(XSS) 脆弱性対応。オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、古いバージョンへも反映されました。
4.2.23 19/03/13 コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
4.2.22 19/01/08 3.7以降のすべてのバージョンに対するセキュリティ リリース
4.2.21 18/11/01  
4.2.20 18/04/04  
4.2.19 18/03/12  
4.2.18 17/12/14  
4.2.17 17/10/31  
4.2.4 15/08/06 セキュリティ リリース/td>
4.2.3 15/07/28  
4.2.2 15/05/08  
4.2.1 15/04/28  
4.2 15/04/28 グローバルにコミュニケーションし、共有する
4.1.27 19/09/05 セキュリティ リリース
複数のクロスサイトスクリプティング(XSS) 脆弱性対応。オープンリダイレクトに繋がりうる URL のバリデーションとサニタイズの問題。  WordPress の古いバージョンの jQuery をアップデートしています。この変更は5.2.1で加えられたもので、今回、4.1ブランチまでの古いバージョンへも反映されました。
4.1.26 19/03/13 コメントをフィルタ処理してデータベースに格納する方法を処理するためのセキュリティ リリース
4.1.25 19/01/08 3.7以降のすべてのバージョンに対するセキュリティ リリース
4.1.24 18/11/01  
4.1.23 18/05/18  
4.1.20 17/10/31  
4.1.5 15/06/02  
4.1.4 15/05/02  
4.1.3 15/04/25  
4.1.2 15/04/22  
4.1.1 15/02/19  
4.1 14/12/19 新しいデフォルトテーマ : ホームページの存在を確認
4.0.1 14/12/15 セキュリティ リリース  実質サポート終了 4.0ブランチ最終
4.0 14/12/15 言語切り替え。 実質サポート終了 ホームページの存在を確認
3.9.3 14/11/22 実質サポート終了 ホームページの存在を確認(3.9系統最終)
3.9.2 14/08/07  
3.9.1 14/05/09  
3.9 14/04/17 実質サポート終了
3.8.5 14/11/22 実質サポート終了
3.8.3 14/04/15  
3.8.2 14/04/13  
3.8.1 14/01/27  
3.8 13/12/16  
3.7.5 14/11/22 サポート終了
3.7.1 13/10/30  
3.7 13/10/25  
3.6.1 13/09/12 サポート終了
3.6 13/08/03  
3.5.2 13/06/21 サポート終了
3.5.1 13/01/25  
3.5 12/12/12  
3.4.2 12/09/08 サポート終了
3.4.1 12/06/28  
3.4 12/06/15  
3.3.2 12/04/21 サポート終了 ホームページの存在を確認
3.3.1 12/01/04  
3.3 11/12/13  
3.2.1 11/07/20 サポート終了
3.2 11/07/09  
3.1.4 11/07/01 サポート終了
3.1.3 11/05/30  
3.1.2 11/04/28  
3.1.1 11/04/08 サポート終了 ホームページの存在を確認
3.1 11/02/28 サポート終了 ホームページの存在を確認
3.0.6 11/04/29 サポート終了
3.0.5 11/02/08  
3.0.4 10/12/30  
3.0.3 10/12/09  
3.0.2 10/12/02  
3.0.1 10/07/30  
3.0 10/06/22  
2.9.2 10/02/16  
2.9.1 10/01/05  
2.9 09/12/19  
2.8.6 09/11/13  
2.8.5 09/10/22  
2.8.4 09/08/12  
2.8.3 09/08/04  
2.8.2 09/07/20  
2.8.1 09/07/12  
2.8 09/06/12  
2.7.1 09/02/13  
2.7 08/12/12  
2.6.5 08/11/27  
2.6.3 08/10/24  
2.6.2 08/09/09  
2.6.1 08/08/17  
2.6 08/07/16  
2.5.1 08/04/26  
2.5 08/03/30  
2.3.3 08/02/06  
2.3.2 08/02/03  
2.3.1 07/12/23  
2.3 07/09/25  
2.0 05/12/31  
1.2 04/05/22  
0.7 03/05/27 初リリース