LinkSearchMenuExpandDocument
WordPress Note
Table of contents

WordPress 4.7

WordPress 4.7 Vaughan (2016-12-6)

Releases: 4.8 | 4.7 | 4.6

ビデオヘッダーをサポートしたモダンな要素(スターターコンテンツを含む)を持つ 新しいテーマとともに到着しました。 新しいカスタマイザー機能により、ライブプレビューでCSSを編集できるように なりました。 REST APIエンドポイントにより、機械的に読み取り可能な外部アクセスが可能になり、 サードパーティとの連携が強化されました。 ページテンプレート機能がすべての投稿タイプに開放されました。 カスタムオプションをサポートするバルクアクションが追加されました。 カスタマイザーは、ドラフトの自動保存をサポートするように拡張されました。

4.7.5の概要

WordPressバージョン4.7.4およびそれ以前のバージョンには、 6つのセキュリティ問題が存在します。

  • HTTPクラスにおける不十分なリダイレクト妥当性確認。
  • XML-RPC APIにおける投稿メタデータ値の不適切な操作。
  • XML-RPC API投稿メタデータ操作における権限確認の不足。
  • ファイルシステム認証情報ダイアログに見つかったクロスサイトリクエスト フォージェリ (CRSF) 脆弱性。
  • 非常に大きいファイルのアップロードを試みた際に見られるクロスサイト スクリプティング (XSS) 脆弱性。
  • Customizer 関連のクロスサイトスクリプティング (XSS) 脆弱性。

上記のセキュリティ問題に加えて、4.7リリースシリーズの4つのメンテナンス修正が 含まれています。

  • Administration: 4.7.3アップデート以降、Shiftキーを押しながらチェックボックスの範囲を選択する機能が使えなくなった
  • Build/Test Tools: 外部Akismetへの対応 - 4.7.x/4.8版
  • REST API: REST APIのJSクライアントです。複数のエンドポイントに同時に接続できるようにしました。
  • Taxonomy: get_the_terms()register_taxonomy()'orderby' => 'term_order'を無視している。

詳細はブログ記事: 「WordPress 4.7.5 セキュリティ・メンテナンスリリース」

4.7.4の概要

WordPress 4.7.4では、バージョン4.7.3にあった47のバグを修正しています。 このバグには、今後リリースされるChromeバージョンとビジュアルエディタとの間の非互換性、メディア処理の不整合、REST APIのさらなる改善などが含まれています。

詳細はブログ記事: 「WordPress 4.7.4 メンテナンスリリース」

4.7.3の概要

WordPressバージョン4.7.2およびそれ以前のバージョンには、6つのセキュリティ問題が存在します。

  • メディアファイルのメタデータを介したクロスサイトスクリプティング (XSS) 脆弱性。
  • 制御文字を利用したリダイレクト URL 検証回避の可能性。
  • プラグイン削除を行う機能を利用して管理者による意図しないファイル削除が 実行される可能性。
  • YouTube動画埋め込みURLを介したクロスサイトスクリプティング (XSS) 脆弱性。
  • タクソノミー語句名に関連したクロスサイトスクリプティング (XSS) 脆弱性。
  • Press Thisにおけるクロスサイトリクエストフォージェリ (CSRF) により サーバーリソースの過剰利用が引き起こされる問題。

詳細はブログ記事: 「WordPress 4.7.3 セキュリティ・メンテナンスリリース」

4.7.2の概要

WordPressバージョン4.7.1およびそれ以前のバージョンには、3つのセキュリティ問題が存在します。

  • Press Thisのタクソノミー語句を割り当てるユーザーインタフェースが使用権限の ないユーザーにまで表示される。
  • 安全でないデータが渡された時に発生するWP_QueryのSQLインジェクション (SQLi) 脆弱性。WordPress コアがこの問題の影響を直接受けることはありませんが、 プラグインやテーマが絡むケースを考慮して安全性強化のために対策を行うものです。
  • 投稿リストテーブルで発見されたクロスサイトスクリプティング (XSS) 脆弱性。

追加された4.7.2のセキュリティ情報開示から、WordPressバージョン4.7.0および4.7.1は、以下のセキュリティ問題の影響を受けます。

  • REST APIエンドポイントに認証されていない特権の昇格の脆弱性がありました。 以前のバージョンのWordPressでは、REST APIプラグインを使用していても、この脆弱性はありませんでした。

詳細はブログ記事: 「WordPress 4.7.2 セキュリティリリース」

4.7.1の概要

WordPressのバージョン4.7およびそれ以前のバージョンには、8つのセキュリティ問題が存在します。

  • PHPMailerの遠隔コード実行 – 調査の結果、WordPressおよび主要なプラグインが この問題の影響を受ける可能性はないことがわかっていますが、広範囲に影響しうる 問題のため今回のリリースでPHPMailerのアップデートを行いました。
  • 公開 (public) の投稿タイプの投稿を作成したすべてのユーザーのデータが REST API経由で参照可能になる問題。WordPress 4.7.1ではREST APIで参照可能と 指定された投稿タイプに限定されるよう制限が加わります。
  • update-core.phpのプラグイン名またはバージョンのヘッダーを利用した クロスサイトスクリプティング (XSS)。
  • Flashファイルのアップロードに関連したクロスサイトリクエストフォージェリ (CSRF)。
  • テーマ名のフォールバックを利用するクロスサイトスクリプティング (XSS)。
  • メールによる投稿でデフォルト設定のmail.example.comが変更されていない場合の対応。
  • ウィジェット編集のアクセシビリティモードに関連したクロスサイトリクエスト フォージェリ (CSRF)。
  • マルチサイト有効化キーの強度不十分な暗号セキュリティ。

また、WordPress 4.7.1では、バージョン4.7にあった 61のバグ が修正されています。

詳細はブログ記事: 「WordPress 4.7.1 セキュリティ・メンテナンスリリース」

履歴

RC / Beta releases
  • 4.7-RC1 (2016-11-24)
  • 4.7-beta4 (2016-11-16)
  • 4.7-beta3 (2016-11-11)
  • 4.7-beta2 (2016-11-4)
  • 4.7-beta1 (2016-10-28)

Releases: 4.8 | 4.7 | 4.6

ブログ記事

下記に掲載を希望される方はご連絡ください (詳細)

Back to top

Back to top

Copyright © 2021 Otti

Page last modified: