WordPress 2.8.4 セキュリティリリース

v2.8になってから頻繁にアップデートしているWordPressですが、またもやアップデータが公開されました。今回もセキュリティリリースということだったので、とりあえず深く考えないで自動アップデートを実行しました。

昨日、脆弱性が見つかりました: 特別に作成された URL がリクエストされると、ユーザーがリクエストしたパスワードのリセットを確認するためのセキュリティチェックを攻撃者が回避できる可能性があります。その結果、データベースにキーを持たない最初のアカウント (通常は管理者アカウント) のパスワードがリセットされ、新しいパスワードがそのアカウントのメールアドレスに送られます。これによってリモートアクセスが可能になるわけではありませんが、かなり不愉快な思いをするでしょう。

私たちは昨晩この問題を修正し、この修正をテストして他に問題がないか確認しました。既知の問題をすべて修正したバージョン2.8.4はすでにダウンロードできるようになっていて、すべての WordPress ユーザーにアップグレードを強くおすすめします。