WordPressセキュリティメンテナンスリリース、4.7.1が公開されました。
主な更新
Remote code execution (RCE) in PHPMailer
WordPressに含まれるPHPMailerが脆弱性(セキュリティホール)に対応したバージョンにアップデートされます。
4.7以前でも、WordPressの標準的な関数を通じて利用している場合には問題がありません。
以下はクロスサイトスクリプティングやクロスサイトリクエストフォージェリに関するセキュリティアップデートです。
Cross-site scripting (XSS) via the plugin name or version header on update-core.php.
Cross-site request forgery (CSRF) bypass via uploading a Flash file.
Cross-site scripting (XSS) via theme name fallback.
A cross-site request forgery (CSRF) was discovered in the accessibility mode of widget editing.
その他
“cURL error 23: Failed writing body” when updating plugins or themes
最近、アップデートに失敗してサイトが正しく表示されなかったりする事象がたまに報告されています。
このアップデートでマシになるかもと期待。
また、4.5.5と4.6.2のセキュリティメンテナンスリリースも公開されています。
全てのバージョンで自動的にアップデートが適用されます。
自動アップデートされなかった場合は手動でアップデートしましょう。